Project Lightwell richtet sich an Unternehmen, die produktive Umgebungen nicht ohne Weiteres aktualisieren oder neu zertifizieren können. Laut IBM erkennt der Dienst Schwachstellen in der konkret eingesetzten Open-Source-Version, entwickelt dafür einen rückportierten Fix und stellt einen signierten, validierten Patch mit vertraglichen SLAs bereit. Ein Upgrade der Produktionsumgebung oder eine erneute Zertifizierung soll dafür nicht nötig sein.
IBM nennt die Investition von 5 Milliarden Dollar die bislang größte bekannte Zusage, die gezielt auf die Absicherung der Open-Source-Lieferkette abzielt. Größer war laut Vorlage nur Googles breiteres Cybersicherheitsversprechen von 10 Milliarden Dollar aus dem Jahr 2021, das auch Zero Trust und Schulungen umfasste. Zum Start arbeitet IBM mit elf Design-Partnern: Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa und Wells Fargo.
Hintergrund ist die beschleunigte Schwachstellensuche durch KI. Die Cloud Security Alliance betonte in einer Forschungsnotiz die Notwendigkeit gemeinsamer Arbeit an Anthropics Project Glasswing, weil die KI-gestützte Entdeckung von Open-Source-Schwachstellen die Fähigkeit zu deren Behebung überholt habe. Die CSA verweist darauf, dass das übliche 90-Tage-Fenster für koordinierte Offenlegung für menschliches Arbeitstempo konzipiert wurde, nicht für ein KI-Modell, das in einem Monat 1.000 Codebasen prüfen kann.
Anthropic teilte mit, dass bis Ende Mai 1.596 geprüfte Schwachstellen in 281 Projekten an Maintainer gemeldet wurden, während nur 97 gepatcht waren. Mehrere Maintainer seien inzwischen stark überlastet; einige hätten Anthropic gebeten, das Offenlegungstempo zu drosseln. Zugleich erklärt das Unternehmen, dass die durchschnittliche Zeit bis zur Behebung eines über Glasswing gemeldeten Fehlers mit hoher oder kritischer Schwere bei zwei Wochen liege.
IBM war bereits am 19. Mai Project Glasswing beigetreten, also noch vor dem Start von Lightwell. Das Unternehmen sagte zu, eigene Produkte zu härten und Korrekturen über koordinierte Offenlegung an Open-Source-Projekte zurückzugeben. Rob Thomas, Senior Vice President Software und Chief Commercial Officer von IBM, erklärte, die Zusammenarbeit mache „das gesamte Ökosystem stärker“.
Auch Gunnar Hellekson, Vice President und General Manager von Red Hat Enterprise Linux, sieht die Entwicklung kritisch. Gegenüber Dark Reading sagte er, CVEs seien bereits zuvor „unkontrollierbar gewachsen“. Das Mythos-Ereignis habe allen vor Augen geführt, dass KI-Werkzeuge zum Scannen des eigenen Codes eingesetzt werden sollten; inzwischen würden Schwachstellen deutlich schneller entdeckt, als sie beseitigt werden könnten.
Für Lightwell setzen IBM und Red Hat nach eigenen Angaben 20.000 Ingenieurinnen und Ingenieure ein. Verwendet werden sollen unter anderem IBM Bob, eine agentische KI-Entwicklungsplattform für den gesamten Software-Lebenszyklus, sowie Concert Secure Coder, das Schwachstellen in Echtzeit beim Schreiben von Code erkennen soll. IBM ist nach eigenen Angaben an mehr als 61.700 Open-Source-Paketen beteiligt und verfügt bei mehr als 10.600 davon über tiefgehende Lifecycle-Management-Erfahrung, darunter Linux, Java, Kubernetes, Kafka, Ansible und Terraform.
Kürzlich bauten IBM und Red Hat Lightwell gemeinsam mit Deloitte aus. Die Partnerschaft zielt auf regulierte Software-Lieferketten. Deloitte soll Unternehmenskunden dabei unterstützen, Open-Source-Komponenten über ihre Anwendungen hinweg zu erfassen, kontinuierliche Software Bills of Materials zu pflegen sowie die Installation und Validierung der von Lightwell gelieferten Patches zu steuern. Hinzu kommen Unterstützung bei regulatorischer Vorfallsmeldung und koordinierte Offenlegung an Maintainer.
Am Markt ist Lightwell damit nicht allein. IDC-Analystin Katie Norton bezeichnet das Angebot als späten Einstieg in einen Markt, der sich seit Jahren entwickle. Als vergleichbaren Vorläufer nennt sie Tidelift, 2017 gegründet und im Dezember 2024 von Sonar übernommen. Norton verweist zudem auf Seal Security, ActiveState, Endor Labs und Chainguard als weitere Anbieter mit Funktionen zur Behebung in Produktivumgebungen. „Lightwell bringt Skalierung und Glaubwürdigkeit für regulierte Branchen“, sagt sie. „Ein neuartiges Modell bringt es nicht mit.“
