Open source får en sikkerhetsregning

IBM og Red Hat har annonsert Project Lightwell, en stor satsing for å gjøre åpen kildekode tryggere i enterprise-miljøer. Beløpet er det som fanger oppmerksomheten: 5 milliarder dollar. Men det viktigste er ikke tallet alene. Det er at IBM prøver å gjøre open source-sikkerhet til en industriell tjeneste.

IBM beskriver Lightwell som en betrodd enterprise-clearinghouse for open source, støttet av frontier AI-kapasiteter og over 20 000 ingeniører. Målet er å identifisere, validere, teste og fikse sårbarheter i langt større skala enn enkeltvirksomheter normalt klarer.

Open source vant infrastrukturen. Nå kommer sikkerhetsarbeidet etter i enterprise-format.

Hvorfor AI gjør problemet større

AI øker tempoet i programvareutvikling. Kodeagenter kan lage pull requests, foreslå pakker, oppdatere avhengigheter og generere infrastrukturkode raskere enn teamene rekker å lese alt manuelt. Dermed blir supply chain-risiko ikke et bakgrunnsproblem, men en daglig kontrollutfordring.

IBM sier Project Lightwell bygger videre på Red Hats enterprise open source-modell, men utvider den til et bredere økosystem av uavhengige komponenter, biblioteker og AI-rammeverk. IBM sier selv at selskapet bruker mer enn 62 000 open source-pakker og har dyp ekspertise i mer enn 10 000.

5 mrd. dollar
20 000+ ingeniører
62 000+ pakker hos IBM
10 000+ med dyp ekspertise
IBM og Red Hat setter 5 milliarder dollar på åpen kildekode-sikkerhet - Bilde 1

Dette er også en forretningsmodell

Project Lightwell er ikke ren veldedighet. IBM posisjonerer det som en enterprise-modell for validering, patching og lifecycle management. Det betyr at open source-sikkerhet blir pakket som en leverandørforpliktelse, ikke bare en community-dugnad.

Det kan provosere deler av open source-miljøet, men det svarer på et reelt problem. Banker, myndigheter, helseforetak og store industriselskaper trenger mer enn en GitHub-advarsel og en overarbeidet plattformutvikler. De trenger sporbare patcher, risikoklassifisering, juridisk trygghet og en leverandør som kan holdes ansvarlig.

Bankene er ikke tilfeldige tidlige brukere

IBM peker på tidlige samarbeid i finans- og banksektoren. Det gir mening. Finans er tungt regulert, dypt avhengig av software supply chains og vant til at sikkerhet må dokumenteres, ikke bare loves.

For Norge er parallellen åpenbar: banker, betalingsaktører, energi, offentlig sektor og helse vil ikke kunne akseptere AI-akselerert kodeproduksjon uten bedre kontroll på avhengigheter.

Jo raskere AI skriver kode, desto viktigere blir det å vite hvor koden kommer fra.

Konklusjon

Project Lightwell gjør open source-sikkerhet til en stor enterprise-kategori. Det er på tide. AI gjør sårbarhetsjakt raskere, men også programvarebygging mer kaotisk. Norske virksomheter bør se dette som en påminnelse: open source er gratis å laste ned, men ikke gratis å sikre.