czwartek, 16 lipca 2026

Nowości

IBM i Red Hat uruchamiają Lightwell, płatną usługę łatania luk w open source

BiznesPatryk Raba
Fot. Treesmittenex, Wikimedia Commons (CC BY-SA 4.0)
Spis treści
  1. Dwa produkty, jeden problem
  2. Dlaczego łatanie jest trudne
  3. Kontekst finansowy
  4. Co to znaczy dla firm w Polsce
  5. Co dalej

IBM i Red Hat ogłosiły komercyjne uruchomienie Lightwell, platformy do automatycznego wykrywania i naprawiania luk bezpieczeństwa w oprogramowaniu open source. Usługa łączy modele sztucznej inteligencji z pracą ponad 20 tysięcy inżynierów i ma dostarczać firmom gotowe, certyfikowane poprawki zamiast zmuszać je do ryzykownych aktualizacji całych systemów.

Dwa produkty, jeden problem

Lightwell działa w dwóch wariantach. Lightwell Network jest już ogólnie dostępny i daje firmom dostęp do katalogu tysięcy przetestowanych, podpisanych cyfrowo zależności wraz z kodem źródłowym, plikami binarnymi i dokumentacją zgodności w formacie SBOM, czyli spisu składników oprogramowania wymaganego coraz częściej przez regulatorów i klientów korporacyjnych.

Drugi produkt, Lightwell Clearinghouse Premier, wchodzi na razie w fazę ograniczonej dostępności. Ma pełnić rolę zaufanego pośrednika przy koordynowaniu informacji o zagrożeniach między instytucjami, w tym przy embargu na publikację poprawek, zanim trafią one do wszystkich zainteresowanych stron jednocześnie. Na start usługa obejmie sektor finansowy, a IBM i Red Hat zapowiadają rozszerzenie na administrację publiczną, ochronę zdrowia i telekomunikację.

Dlaczego łatanie jest trudne

Rdzeniem problemu, który adresuje Lightwell, jest sprzeczność znana każdemu zespołowi bezpieczeństwa: poprawienie luki wymaga zwykle aktualizacji biblioteki do nowej wersji, a nowa wersja często wprowadza zmiany łamiące działający kod. W efekcie firmy odkładają łatanie, bo test regresji i ryzyko przestoju kosztują więcej niż samo ryzyko podatności. Lightwell ma to obejść, backportując konkretne poprawki bezpieczeństwa bezpośrednio do starszych, wciąż używanych w produkcji wersji oprogramowania, zamiast wymuszać pełną migrację.

Mechanizm opiera się na tak zwanym generatywnym silniku remediacji, który łączy modele frontierowe i otwarte modele AI z ręczną weryfikacją inżynierów. AI ma przyspieszać analizę zależności i proponować poprawki, a ludzie potwierdzać, że dana łatka faktycznie działa w konkretnej, starszej wersji kodu bez psucia reszty systemu.

Kontekst finansowy

Lightwell nie powstaje w próżni. IBM i Red Hat zapowiedziały w maju 2026 roku pięciomiliardowe zobowiązanie na rzecz bezpieczeństwa ekosystemu open source, a dzisiejsze ogłoszenie to pierwszy komercyjny produkt wynikający z tej deklaracji. Skala problemu, który firmy próbują rozwiązać, jest spora: według przywołanych przez IBM danych typowa baza kodu zawiera średnio 581 znanych podatności, a w samym 2025 roku odnotowano 9,8 biliona pobrań komponentów open source na świecie.

Lightwell stanowi fundamentalną zmianę strukturalną sposobu, w jaki zabezpieczamy całe oprogramowanie przedsiębiorstwa - Matt Hicks, prezes i CEO Red Hat
Przedsiębiorstwa otrzymują certyfikowane poprawki, które mogą wdrożyć bezpośrednio w systemach, których już używają - Rob Thomas, starszy wiceprezydent ds. oprogramowania i Chief Commercial Officer IBM

Co to znaczy dla firm w Polsce

Dla polskich zespołów IT i bezpieczeństwa Lightwell to kolejny sygnał, że rynek przesuwa łatanie luk open source z modelu doraźnego, ręcznego reagowania na incydenty w stronę stałej, abonamentowej usługi zewnętrznej, podobnie jak wcześniej stało się z threat intelligence czy skanowaniem podatności. Duże firmy korzystające z rozwiązań Red Hat, zwłaszcza w sektorze bankowym i telekomunikacyjnym, prawdopodobnie zobaczą Lightwell jako opcję w swoich kolejnych negocjacjach kontraktowych z IBM.

Wymóg dokumentacji SBOM, który Lightwell wbudowuje w swoją ofertę, wpisuje się też w kierunek, w jakim zmierzają unijne regulacje dotyczące cyberbezpieczeństwa łańcucha dostaw oprogramowania, więc dla firm przygotowujących się do audytów zgodności może to być argument za wcześniejszym wdrożeniem podobnych narzędzi, niezależnie od tego, czy wybiorą akurat produkt IBM i Red Hat.

Co dalej

Na razie Lightwell Network obejmuje wyłącznie ekosystemy Java i Python, więc firmy pracujące głównie w innych stackach będą musiały poczekać na rozszerzenie katalogu. Kluczowym testem dla platformy będzie to, jak szybko Clearinghouse Premier wyjdzie z fazy ograniczonej dostępności i czy sektory poza finansowym rzeczywiście dostaną dostęp do koordynowanych embarg na poprawki, jak zapowiadają obie firmy.

Udostępnij: