Project Lightwell setzt auf eine zentrale „Enterprise-Clearingstelle", die künstliche Intelligenz einsetzt, um Sicherheitsarbeit an quelloffenem Code zu skalieren. Die Aufgabe der KI besteht darin, Schwachstellen und mögliche Korrekturen über verschiedene Open-Source-Codebasen hinweg zu identifizieren, zu sichten, zu priorisieren und zu validieren.

Die beteiligten Ingenieure sollen sich dabei auf mehrere Bereiche konzentrieren: aktive Pflege des Upstream-Codes gemeinsam mit führenden Vertretern der Open-Source-Community, KI-gestützte Schwachstellenprüfungen in großem Umfang sowie die Entwicklung sicherer Patches und das zugehörige Release-Engineering.

Die so geprüften Patches, Funktionen und Werkzeuge zur Lebenszyklusverwaltung sollen Unternehmen über kommerzielle Software-Abonnements bereitgestellt werden. Die Initiative baut auf dem bestehenden kommerziellen Open-Source-Ökosystem von IBM und Red Hat auf, das bereits heute Lebenszyklusverwaltung und Validierung für große Unternehmensplattformen wie Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink und Cassandra übernimmt.

Den Umfang des Vorhabens begründet IBM mit der tiefen Verankerung quelloffener Software in modernen Konzernen. Nach eigenen Angaben nutzt IBM mehr als 62.000 Open-Source-Pakete in seiner gesamten Unternehmensinfrastruktur.

„Open Source ist das Rückgrat der heutigen digitalen Wirtschaft und das Fundament moderner KI, und wir befinden uns an einem Wendepunkt, was die Art angeht, wie sie gebaut, abgesichert und skaliert wird", sagte Arvind Krishna, Chairman und CEO von IBM. Mit Project Lightwell wollten IBM und Red Hat ein neues Branchenmodell prägen, das KI, technisches Fachwissen und vertrauenswürdige Zusammenarbeit zusammenführe, um Open-Source-Software direkt an der Quelle und entlang der gesamten Lieferkette abzusichern. Es gehe darum, das Vertrauen in jene Systeme zu stärken, die Wirtschaft, Verwaltung und Gesellschaft tragen.

Zu den ersten Teilnehmern von Project Lightwell gehören Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa und Wells Fargo.

IBM hatte Red Hat für 34 Milliarden Dollar übernommen; die Transaktion war Ende 2018 angekündigt worden.