IBM et Red Hat s'engagent à investir 5 milliards $ pour sécuriser les logiciels open source : le projet Lightwell mobilisera plus de 20 000 ingénieurs et des outils d'IA afin d'identifier les vulnérabilités

IBM et Red Hat s'engagent à investir 5 milliards $ pour sécuriser les logiciels open source : le projet Lightwell mobilisera plus de 20 000 ingénieurs et des outils d'IA afin d'identifier les vulnérabilités

IBM et Red Hat ont annoncé le lancement du projet Lightwell, un engagement de 5 milliards de dollars visant à aider les entreprises à sécuriser leurs logiciels open source grâce à une combinaison d’outils d’IA et à plus de 20 000 ingénieurs. Au cœur de cette initiative se trouve ce qu'IBM et Red Hat appellent un « centre d'échange d'informations d'entreprise de confiance », où des capacités avancées d'IA sont utilisées pour contrôler et vérifier les correctifs à une échelle couvrant une grande partie de l'écosystème open source. Dans le cadre de cette structure de centre d'échange, les entreprises participantes ont accès à un canal confidentiel pour signaler les failles de sécurité, à des correctifs prêts à l'emploi développés et testés par les ingénieurs d'IBM et de Red Hat, ainsi qu'à un mécanisme permettant de réinjecter ces solutions dans l'écosystème open source au sens large.

International Business Machines Corporation, opérant sous le nom d'IBM (surnommée « Big Blue »), est une multinationale américaine du secteur des technologies. Il s'agit d'une société cotée en bourse qui figure parmi les 30 entreprises composant l'indice Dow Jones Industrial Average. IBM est la plus grande organisation de recherche industrielle au monde, avec 19 centres de recherche répartis dans une douzaine de pays.

En tant que l'une des plus anciennes et des plus grandes entreprises technologiques au monde, IBM est à l'origine de plusieurs innovations technologiques, notamment le guichet automatique bancaire (GAB), la mémoire vive dynamique (DRAM), la disquette, le langage de balisage généralisé (XML), le disque dur, la carte à bande magnétique, la base de données relationnelle, le langage de programmation SQL et le code-barres UPC (Universal Product Code). L'entreprise s'est imposée dans les domaines des puces informatiques de pointe, de l'informatique quantique, de l'intelligence artificielle (IA) et des infrastructures de données.

Red Hat, Inc. (anciennement Red Hat Software, Inc.) est une société américaine de logiciels qui fournit des produits logiciels open source aux entreprises et qui est une filiale d'IBM. Fondée en 1993, Red Hat est aujourd'hui largement associée à son système d'exploitation d'entreprise Red Hat Enterprise Linux. Red Hat crée, maintient et contribue à de nombreux projets de logiciels open source. Elle a acquis les bases de code de plusieurs produits logiciels propriétaires par le biais de fusions et d'acquisitions d'entreprises, et a publié ces logiciels sous des licences open source.

Récemment, IBM et Red Hat ont annoncé le lancement du projet Lightwell, un engagement de 5 milliards de dollars visant à aider les entreprises à sécuriser leurs logiciels open source grâce à une combinaison d’outils d’IA et à plus de 20 000 ingénieurs. Au cœur de cette initiative se trouve ce qu'IBM et Red Hat appellent un « centre d'échange d'informations d'entreprise de confiance », où des capacités avancées d'IA sont utilisées pour contrôler et vérifier les correctifs à une échelle couvrant une grande partie de l'écosystème open source. Ce service sera proposé sous forme d'abonnements commerciaux, a indiqué la société, permettant ainsi aux entreprises d'intégrer directement les correctifs validés dans leurs chaînes d'approvisionnement logicielles.

IBM et Red Hat ont déjà commencé à tester le projet avec un groupe d’institutions financières, notamment Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, la Banque Royale du Canada, State Street, Visa et Wells Fargo, a précisé la société. L'offre commerciale sera lancée d'ici 30 jours, a déclaré Rob Thomas, vice-président senior chargé des logiciels chez IBM.


Dans le cadre de cette structure de centre d'échange, les entreprises participantes ont accès à un canal confidentiel pour signaler les failles de sécurité, à des correctifs prêts à l'emploi développés et testés par les ingénieurs d'IBM et de Red Hat, ainsi qu'à un mécanisme permettant de réinjecter ces solutions dans l'écosystème open source au sens large, a précisé la société. Les entreprises ont présenté cette initiative en partie comme une réponse au rôle croissant de l'IA dans l'identification des failles logicielles. Le modèle Mythos Preview d'Anthropic a identifié près de 3 900 vulnérabilités de gravité élevée ou critique dans des logiciels open source, a noté la société.

IBM a déclaré utiliser plus de 62 000 paquets open source et disposer d'une expertise approfondie dans plus de 10 000 d'entre eux, couvrant des technologies telles que Linux, Kubernetes, Kafka et Ansible. Le projet Lightwell étend cette discipline d'ingénierie à un panorama plus large de bibliothèques indépendantes, de chaînes d'outils de langage, de frameworks d'IA et de plateformes de streaming de données, a déclaré la société.

« L'open source est l'épine dorsale de l'économie numérique actuelle et le fondement de l'IA moderne, et nous sommes à un tournant dans la manière dont il est construit, sécurisé et mis à l'échelle », a déclaré Arvind Krishna, président-directeur général d'IBM, dans un communiqué. « Il s’agit de renforcer la confiance dans les systèmes qui font fonctionner les entreprises, les gouvernements et la société. »

Les entreprises ont souligné que plus de 90 % des sociétés du classement Fortune 500 s’appuient sur des logiciels open source. Le prix de l’offre d’abonnement sera très probablement lié au volume de packages utilisés par le client, a déclaré Thomas, ajoutant que les clients reçoivent en fait un « label de conformité de la part de la chambre de compensation, garantissant que leur open source peut être utilisé en production en toute sécurité ».

Voici l'annonce d'IBM :


IBM et Red Hat s'engagent à investir 5 milliards $ pour redéfinir l'avenir de l'open source à l'ère de l'IA

IBM et Red Hat ont annoncé aujourd’hui le lancement du projet Lightwell, un engagement de 5 milliards de dollars s’appuyant sur des capacités d’IA de pointe et une équipe mondiale de plus de 20 000 ingénieurs, destiné à aider les entreprises à sécuriser leurs logiciels open source. Ensemble, ces investissements établissent un nouveau modèle d’utilisation des logiciels open source en entreprise, depuis le développement en amont jusqu’aux environnements de production.

Le projet Lightwell mettra en place un centre de coordination d'entreprise de confiance, associé à une équipe mondiale d'ingénieurs, afin d'identifier et de corriger les vulnérabilités à grande échelle. Ce centre servira de couche de coordination de la sécurité, utilisant des capacités avancées d'IA pour valider et tester les correctifs sur un volume sans précédent de code open source. Ces capacités seront proposées via des abonnements commerciaux, permettant aux entreprises d'intégrer des correctifs sécurisés directement dans leurs chaînes d'approvisionnement logicielles existantes, avec une validation et une gestion du cycle de vie de niveau entreprise.

Les logiciels open source sont à la base de l’infrastructure des entreprises modernes, plus de 90 % des entreprises du classement Fortune 500 s’appuyant sur les logiciels open source[1]. Parallèlement, les avancées en matière d’IA de pointe accélèrent la découverte et l’exploitation des vulnérabilités. Anthropic a récemment indiqué que son modèle Mythos Preview avait identifié près de 3 900 vulnérabilités de gravité élevée ou critique dans les logiciels open source à eux seuls[2].

IBM et Red Hat ont déjà commencé à collaborer avec un groupe restreint de pionniers sur le projet Lightwell, comprenant Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, la Banque Royale du Canada, State Street, Visa et Wells Fargo. Les enseignements concrets tirés de ces premiers déploiements façonneront activement la manière dont les vulnérabilités sont identifiées, validées et corrigées à grande échelle au sein de chaînes logicielles complexes.

Le projet Lightwell s’appuie sur le leadership d’IBM et de Red Hat dans les domaines de l’open source, de l’IA d’entreprise et de la sécurité, et intègre les enseignements tirés d’initiatives telles que le projet Glasswing d’Anthropic et Trust Access for Cyber d’OpenAI, dans le but d’utiliser les nouvelles méthodes de sécurité agentique d’IBM pour protéger les couches open source fondamentales qui sous-tendent les systèmes d’entreprise et d’IA modernes.

« L’open source est l’épine dorsale de l’économie numérique actuelle et le fondement de l’IA moderne, et nous sommes à un tournant dans la manière dont il est construit, sécurisé et déployé à grande échelle », a déclaré Arvind Krishna, président-directeur général d’IBM. « Avec le projet Lightwell, IBM et Red Hat contribuent à définir un nouveau modèle industriel, qui réunit l’IA, l’expertise en ingénierie et une collaboration de confiance, afin de sécuriser les logiciels open source à la source et tout au long de la chaîne d’approvisionnement. Il s’agit de renforcer la confiance dans les systèmes qui font fonctionner les entreprises, les gouvernements et la société. »

Lancement d’une plateforme de sécurité open source de confiance

Le projet Lightwell s’appuie sur le modèle open source d’entreprise éprouvé d’IBM et de Red Hat, en l’étendant au-delà de leur gamme de produits traditionnelle. IBM utilise déjà plus de 62 000 paquets open source, avec une expertise approfondie dans plus de 10 000 d’entre eux. À travers des technologies telles que Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra et bien d’autres, les deux entreprises exploitent l’un des écosystèmes open source commerciaux les plus vastes du secteur, assurant depuis longtemps la gestion du cycle de vie, la validation et l’application de correctifs pour les composants de leurs plateformes. Aujourd’hui, IBM et Red Hat appliquent la même rigueur technique à l’ensemble du paysage applicatif, y compris les bibliothèques indépendantes, les chaînes d’outils de langage, les frameworks d’IA et les plateformes de streaming de données.

Cette approche répond directement aux vulnérabilités opérationnelles auxquelles les entreprises sont confrontées lorsqu’elles gèrent seules du code open source indépendant. Grâce au modèle de centre d’échange, les entreprises peuvent :

- Signaler et résoudre les vulnérabilités : partager de manière responsable les problèmes de sécurité sensibles découverts dans leurs versions logicielles actives au sein d’un cadre intermédiaire de confiance.
- Déployer des correctifs validés : recevoir des correctifs optimisés pour les environnements de production, couvrant à la fois les offres Red Hat et le code communautaire indépendant.
- Coordonner les divulgations en amont : partager les correctifs en amont afin que les communautés open source puissent les inclure dans la maintenance à long terme.

Ce modèle permet aux entreprises de faire appel à IBM et Red Hat pour résoudre les problèmes de sécurité critiques tout en renforçant l'open source dans son ensemble grâce à une divulgation en amont responsable.

L'ingénierie optimisée par l'IA à l'échelle mondiale

À l'heure où de nombreuses entreprises technologiques ont recours à l'IA pour réduire leurs effectifs techniques, IBM et Red Hat adoptent une approche différente, en positionnant les capacités d'ingénierie technique comme un atout stratégique de premier plan et un facteur de différenciation sur le marché.

IBM et Red Hat mettront en place une équipe de plus de 20 000 ingénieurs, soutenue par des capacités avancées d'IA. Cette force technique mondiale interviendra dans les environnements en amont et d'entreprise, en se concentrant sur :

- la maintenance en amont en collaboration avec les leaders des communautés open source ;
- l'analyse, le triage et la hiérarchisation à grande échelle des vulnérabilités, assistés par l'IA ;
- le développement de correctifs sécurisés, le renforcement des dépendances et l'ingénierie de mise en production.

Le projet Lightwell soutient les priorités gouvernementales visant à sécuriser les infrastructures numériques, à protéger les systèmes critiques et à renforcer la résilience globale des écosystèmes de logiciels open source.

Sources : Annonce d'IBM, Projet Lightwell

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Le projet Glasswing d'Anthropic, utilisant le modèle Claude Mythos Preview, a découvert plus de 10 000 vulnérabilités de gravité élevée ou critique dans des systèmes logiciels clés en l'espace d'un mois

« Le vibe coding tue l'open source », car il sape le mécanisme de financement même qui permet aux projets open source de survivre en dissociant l'utilisation de l'engagement

L'IA est capable de cloner des logiciels open source en quelques minutes : les projets bénévoles peuvent ainsi être exploités commercialement, sans que leurs auteurs en soient crédités ni rémunérés