IBM y Red Hat han anunciado Project Lightwell, una iniciativa con la que ambas compañías se comprometen a invertir 5.000 millones de dólares en reforzar la seguridad del software de código abierto en plena era de la inteligencia artificial. La cifra es importante, pero no lo es menos el enfoque: aplicar IA avanzada y una fuerza global de más de 20.000 ingenieros a la detección, validación y corrección de vulnerabilidades en componentes abiertos utilizados por empresas.
La propuesta parte de una constatación conocida, pero cada vez más delicada: el código abierto sostiene buena parte de la infraestructura tecnológica moderna y, según indican, más del 90% de las compañías de la lista Fortune 500 dependen de software desarrollado bajo este modelo, al tiempo que los avances en IA están acelerando la identificación como la explotación de vulnerabilidades. IBM y Red Hat citan, en este sentido, el caso de Anthropic y su modelo Mythos Preview, capaz de identificar cerca de 3.900 vulnerabilidades de severidad alta o crítica en proyectos de código abierto.
Así, Project Lightwell se articula en torno a un centro de coordinación de seguridad para el Open Source empresarial. En la práctica, IBM y Red Hat quieren crear una capa de confianza en la que las empresas puedan reportar problemas sensibles, recibir parches validados para entornos de producción y coordinar la divulgación de correcciones con los proyectos upstream, de manera que las comunidades también puedan incorporarlas a su mantenimiento a largo plazo.
El matiz comercial, eso sí, es relevante, ya quesetas capacidades se ofrecerán mediante suscripciones comerciales, con el objetivo de que las organizaciones integren parches seguros directamente en sus cadenas de suministro de software, con validación empresarial y gestión del ciclo de vida. Es decir, no se trata solo de «ayudar al código abierto» en abstracto, sino de convertir esa ayuda en un servicio profesional para empresas que ya dependen de componentes abiertos más allá del perímetro tradicional de Red Hat.
De hecho, IBM asegura utilizar más de 62.000 paquetes de código abierto y contar con experiencia profunda en más de 10.000 de ellos. Sobre esa base, la iniciativa se extenderá a tecnologías como Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink o Cassandra, pero también a bibliotecas independientes, cadenas de herramientas de lenguajes, frameworks de IA y plataformas de streaming de datos.
La otra pata del anuncio es, claro, la IA. Project Lightwell incorporará capacidades avanzadas para revisar, priorizar y validar correcciones a gran escala, pero IBM y Red Hat subrayan que no se trata de reemplazar capacidad técnica, sino de ampliarla, y que iniciativa contará con más de 20.000 ingenieros dedicados a mantenimiento upstream, revisión asistida por IA, triaje de vulnerabilidades, desarrollo de parches seguros, endurecimiento de dependencias e ingeniería de publicación.
La iniciativa ya se está probando con un grupo de primeros clientes entre los que figuran Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa y Wells Fargo. Sus despliegues iniciales servirán para ajustar cómo se identifican, validan y corrigen vulnerabilidades en cadenas de suministro complejas.
IBM y Red Hat plantean Project Lightwell como un nuevo modelo de seguridad para el Open Source empresarial: IA, ingeniería y coordinación upstream al servicio de quienes han construido buena parte de su infraestructura sobre software libre. Al servicio de los que pagan, se podría decir. Es de esperar, sin embargo, que el beneficio se extienda más allá de la clientela que reúna el proyecto, habida cuenta de la naturaleza de la tecnología a la que apunta.
