Na de introductie van Project Lightwell in mei volgt nu de eerste commerciële uitrol. IBM en Red Hat presenteren twee diensten: Lightwell Network, dat direct algemeen beschikbaar is, en Lightwell Clearinghouse Premier, dat in een beperkte beschikbaarheidsfase van start gaat. Beide zijn bedoeld om het beheer van kwetsbaarheden in open-sourcesoftware verder te automatiseren met behulp van AI.
Volgens beide bedrijven groeit de druk op organisaties om sneller te reageren op beveiligingslekken. Open-sourcecomponenten vormen tegenwoordig het grootste deel van moderne softwarestacks, terwijl AI volgens IBM en Red Hat ook aanvallers in staat stelt kwetsbaarheden sneller te vinden en te misbruiken. Traditionele patchprocessen kunnen dat tempo steeds moeilijker bijhouden.
De kern van Lightwell is een AI-gestuurde remediation-engine die kwetsbaarheden analyseert en beveiligingspatches terugzet (“backport”) naar oudere, nog veelgebruikte softwareversies. Daarmee moeten organisaties beveiligingsproblemen kunnen oplossen zonder direct een complete software-upgrade uit te voeren, iets wat in bedrijfskritische omgevingen vaak veel testwerk en risico met zich meebrengt.
Lightwell Network bevat bij de lancering meer dan 6.500 digitaal ondertekende en gecertificeerde softwarepakketten voor onder meer Java- en Python-omgevingen. De patches worden geleverd inclusief Software Bills of Materials (SBOM’s) en andere compliance-informatie, zodat ze rechtstreeks in bestaande ontwikkel- en deploymentprocessen kunnen worden opgenomen.
Samenwerking binnen kritieke sectoren
De tweede dienst, Lightwell Clearinghouse Premier, richt zich op samenwerking tussen organisaties binnen sterk gereguleerde sectoren. In eerste instantie gebeurt dat uitsluitend voor financiële instellingen. De omgeving moet dienen als een vertrouwd platform voor het vertrouwelijk delen van kwetsbaarheden, het coördineren van patches onder embargo en gezamenlijke respons op dreigingen. IBM en Red Hat zeggen de dienst later ook beschikbaar te willen maken voor sectoren als overheid, gezondheidszorg en telecom.
De commerciële introductie bouwt voort op de investering van 5 miljard dollar die IBM en Red Hat in mei aankondigden voor Project Lightwell. Daarbij maakten de bedrijven bekend meer dan 20.000 engineers in te zetten om AI-ondersteunde kwetsbaarheidsanalyse en patchontwikkeling op grote schaal mogelijk te maken. De nu gelanceerde diensten vormen de eerste concrete invulling van die strategie.
Opvallend is dat IBM en Red Hat Lightwell nadrukkelijk positioneren als een aanvulling op het bestaande open-source-ecosysteem. Beveiligingsreparaties worden volgens het zogeheten upstream first-principe teruggeleverd aan de oorspronkelijke open-sourceprojecten, zodat commerciële ondersteuning niet leidt tot afzonderlijke softwarevertakkingen.
Rond Lightwell ontstaat een omvangrijk partnernetwerk. Technologiebedrijven als AWS, AMD, GitLab, Intel, Microsoft, Nvidia, Palo Alto Networks en ServiceNow ondersteunen het initiatief. Daarnaast gaan grote dienstverleners zoals Accenture, Deloitte, EY, HCLTech, Infosys, Kyndryl, NTT DATA en Tata Consultancy Services organisaties helpen bij de implementatie van de nieuwe diensten.