IBM, Red Hat en Deloitte gaan nauwer samenwerken aan de beveiliging van open source-software. Deloitte sluit zich aan bij het eerder dit jaar gelanceerde Lightwell-initiatief, dat organisaties moet helpen kwetsbaarheden sneller te verhelpen zonder daarvoor direct omvangrijke software-upgrades uit te voeren.
Lightwell werd in mei door IBM en dochteronderneming Red Hat aangekondigd als een initiatief om de beveiliging van veelgebruikte open source-software te verbeteren. Bij de lancering maakten de bedrijven bekend 20.000 engineers en een investering van 5 miljard dollar beschikbaar te stellen voor het project. Deloitte treedt nu toe als integratiepartner en brengt expertise op het gebied van cyberrisicobeheer en software supply chains in.
Veel bedrijfssoftware bestaat uit een combinatie van eigen code, open source-componenten en commerciële software. Kwetsbaarheden in één van die onderdelen kunnen daardoor gevolgen hebben voor complete applicaties. Volgens de drie bedrijven neemt die uitdaging toe doordat AI het tempo waarin nieuwe kwetsbaarheden worden ontdekt en misbruikt verder opvoert.
Patches zonder volledige upgrade
Lightwell werd opgezet als alternatief voor de traditionele manier waarop beveiligingsupdates worden uitgerold. Normaal gesproken worden kwetsbaarheden opgelost via reguliere software-upgrades. Dat betekent dat organisaties soms eerst naar een nieuwere softwareversie moeten migreren voordat een beveiligingslek wordt gedicht.
In de praktijk zijn beveiligingspatches bovendien niet altijd direct toepasbaar. Ze zijn soms alleen geschikt voor de nieuwste softwareversie of vereisen ingrijpende configuratiewijzigingen. Lightwell probeert dat te ondervangen door patches te ontwikkelen en te valideren voor de specifieke softwareversies die organisaties al in productie gebruiken.
Deloitte voegt daar integratie- en beheerdiensten aan toe. Het bedrijf gaat organisaties ondersteunen bij het identificeren van kwetsbare software, het prioriteren van beveiligingsrisico’s en het testen en uitrollen van gevalideerde patches. Daarvoor zet Deloitte onder meer een team van zogeheten Forward Deployed Engineers in.
Focus op gereguleerde sectoren
De samenwerking richt zich in eerste instantie op organisaties met sterk gereguleerde softwareomgevingen, waar eisen rond cybersecurity en compliance doorgaans zwaarder wegen. Deloitte gaat klanten helpen continu inzicht te houden in welke open source-componenten daadwerkelijk in applicaties aanwezig zijn, zodat kwetsbare afhankelijkheden sneller kunnen worden opgespoord.
Naast het detecteren en herstellen van kwetsbaarheden willen de drie partijen ook ondersteuning bieden bij compliance, documentatie en de afstemming met open source-projecten en softwareleveranciers. Daarmee moet inzichtelijk worden welke kwetsbaarheden aanwezig zijn, hoe deze zijn opgelost en welke maatregelen zijn genomen.
De uitbreiding van Lightwell volgt kort op de introductie van Akrites, een initiatief van de Linux Foundation waaraan onder meer IBM en Red Hat deelnemen. Ook dat project richt zich op het sneller opsporen en verhelpen van kwetsbaarheden in veelgebruikte open source-software. Beide initiatieven spelen in op dezelfde ontwikkeling: AI maakt het eenvoudiger om kwetsbaarheden op grote schaal te vinden, waardoor ook de snelheid waarmee beveiligingsupdates beschikbaar komen belangrijker wordt.