오픈 소스 보안은 엉망입니다. IBM과 Red Hat은 50억 달러를 걸고 20,000명의 엔지니어가 문제를 해결할 수 있습니다.

greenkeys-shutterstock-46170328

PeterPhoto123(Shutterstock을 통한)

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET의 주요 시사점

  • Lightwell은 오픈 소스 소프트웨어를 보호하기 위해 많은 노력을 기울이고 있습니다.
  • IBM과 Red Hat은 이 대규모 보안 이니셔티브에 투자하고 있습니다.
  • 우리는 이 구독 기반 서비스가 어떻게 작동할지 아직 모릅니다.

AI는 오픈 소스 소프트웨어에 대한 혼합된 축복입니다. 한편으로 AI는 개발자가 더 빠르게 프로그래밍하고 버그를 더 빨리 찾는 데 도움이 될 수 있습니다. 반면에, 관리자들은 잠재적으로 심각한 버그 보고서의 엄청난 양에 압도당하고 있습니다.

인기 있는 오픈 소스 데이터 전송 프로그램인 cURL의 창립자이자 유지관리자인 Daniel Steinberg는 최근 “수신되는 보안 보고서의 비율은 2024년보다 4~5배 더 높으며 2025년 속도는 두 배”라고 말했습니다. 처음으로 그는 “예전보다 일을 더 많이 하는데 홍수가 계속 난다”고 고백했다. Steinberg는 소진 직전에 있습니다. 그래서 그는 더 많은 회사에 “우리에게 자금을 지원”하여 워크로드를 분산시키기 위해 더 많은 개발자에게 비용을 지불할 수 있도록 요청했습니다. 이제 IBM과 그 자회사인 Red Hat이 그 요청을 들었습니다.

또한: Microsoft Office 및 Google Docs에 대한 유럽의 오픈 소스 대안이 6월 9일 출시됩니다.

그들의 대답은 산업 규모에서 오픈 소스 소프트웨어의 취약점을 찾아 수정하기 위한 “최초의 힘”이라고 설명하는 AI 기반 이니셔티브인 Project Lightwell입니다. Lightwell은 현대 기업 IT를 뒷받침하는 오픈 소스 구성 요소를 보호하기 위한 사실상의 정보 센터가 되는 것을 목표로 합니다.

그러나 이 이니셔티브는 업스트림 개발자에게 비용을 지불하지 않습니다. 대신 Lightwell은 IBM 및 Red Hat 엔지니어에게 AI 도구를 제공하여 중요한 비즈니스 크리티컬 오픈 소스 프로젝트를 수행하고 이를 최대한 안전하게 만듭니다. Anthropic의 Mythos Preview 모델은 이미 단 몇 주 만에 오픈 소스 소프트웨어에서 약 3,900개의 심각한 보안 취약점을 식별했기 때문에 더 빠른 수정이 시급하다는 것은 명백합니다.

이 단계를 수행하기 위해 두 회사는 향후 몇 년 동안 50억 달러를 투자하여 최첨단 규모의 AI 모델, 도구 및 오픈 소스 보안을 전담하는 글로벌 엔지니어링 조직을 출시할 것입니다. 이 움직임은 단순한 AI 플레이가 아닙니다. 또한 양사는 20,000명의 엔지니어를 투입하여 오픈 소스 위험을 백그라운드 유지 관리 작업이 아닌 1차 공급망 문제로 처리할 것입니다.

또한: Rust는 AI로부터 Linux를 구할 것이라고 Greg Kroah-Hartman이 말했습니다.

결국 ZDNET의 David Gerwitz는 최근 “기존 애플리케이션 보안으로는 더 이상 충분하지 않습니다”라고 지적했습니다. 충분하지도 않습니다.

오픈 소스 코드 보안 강화

Project Lightwell의 중심에는 기업과 그들이 의존하는 소프트웨어를 구축하는 업스트림 커뮤니티 간의 격차를 해소하는 새로운 운영 모델이 있습니다. IBM과 Red Hat은 또 다른 버그 보상 프로그램이나 코드 스캔 서비스를 시작하는 대신 Lightwell을 신뢰할 수 있는 중개자로 홍보하고 있습니다. 즉, 기업은 자신이 실행하는 오픈 소스 소프트웨어에 대한 이니셔티브 정보를 제공할 것입니다. 그런 다음 Lightwell 엔지니어는 AI를 사용하여 결함을 찾아 수정 사항을 제안합니다. 그 후 엔지니어는 업스트림 유지관리자와 협력하여 패치를 병합하고 배송할 것입니다.

회사들은 이 정보 센터가 현재 내부 보안 팀, 제3자 검사기, 커뮤니티 유지관리자 등으로 분산되어 있는 여러 기능을 결합할 것이라고 밝혔습니다. 이러한 기능에는 기업이 실제로 배포하는 특정 버전에 대한 대규모 취약성 검색, 분류 및 우선순위 지정, 패치 개발, 백포팅, 장기 수명주기 지원이 포함됩니다. 모든 것이 순조롭게 진행된다면 이 접근 방식은 수동 수정을 프로젝트 거버넌스와 개방형 개발 표준을 여전히 존중하는 처리량이 높은 수정 파이프라인으로 전환할 것입니다.

IBM의 회장 겸 CEO인 Arvind Krishna는 성명서에서 “IBM과 Red Hat은 Project Lightwell을 통해 AI, 엔지니어링 전문 지식 및 신뢰할 수 있는 협업을 결합하여 소스와 전체 공급망에서 오픈 소스 소프트웨어를 보호하는 새로운 산업 모델을 정의하는 데 도움을 주고 있습니다.”라고 밝혔습니다.

또한: 사이버 보안 전문가 중 거의 절반이 그만두고 싶어합니다. 그 이유는 다음과 같습니다.

Lightwell은 AI가 등장하기 전부터 엄청난 남용을 목격했던 Maven/Java 생태계부터 시작합니다. 그런 다음 프로젝트는 PyPI, npm, Go 및 기타 중요한 오픈 소스 코드베이스로 확장됩니다.

IBM의 최신 AI 모델이 Lightwell을 강화할 것입니다. 이러한 시스템은 잠재적인 취약점이 있는지 대규모 코드베이스, 종속성 그래프 및 구성 아카이브를 스캔한 다음, 업스트림이나 고객 환경으로 이동하기 전에 인간 엔지니어가 검증할 후보 패치를 생성하도록 교육됩니다.

또한: 2026년에 AI가 전례 없는 피해를 입힐 수 있는 10가지 방법

두 회사는 보안에 중요한 코드로 AI를 신뢰하려면 이러한 인간 참여형 접근 방식이 필수적이라고 주장했습니다. 모델은 인간 검토자가 결코 다룰 시간이 없는 패턴과 문제를 표면화할 수 있다고 IBM은 말했습니다. 그러나 안전하고 수용 가능한 수정 사항에 대한 최종 결정은 숙련된 엔지니어와 프로젝트 유지보수 담당자의 몫입니다. 실제로 Lightwell은 원치 않는 끌어오기 요청을 삭제하는 불투명한 자동화 계층이 아니라 특히 규모가 크고 잘 조직된 기여자로 커뮤니티에 나타나도록 되어 있습니다.

주변이 아닌 업스트림과 함께 작업

Red Hat의 경우 Project Lightwell은 수십 년 동안 연마된 플레이북을 확장합니다. 이 이니셔티브는 업스트림 오픈 소스를 가져와 기업을 위해 이를 강화 및 지원하고 커뮤니티에 개선 사항을 다시 적용할 것입니다. 차이점은 범위입니다. Red Hat의 기존 모델은 Red Hat Enterprise Linux(RHEL), OpenShift, Ansible을 포함한 자체 제품과 같은 플랫폼에 중점을 두었지만 Lightwell은 뱅킹 시스템에서 AI 파이프라인에 이르기까지 모든 것을 조용히 뒷받침하는 라이브러리, 프레임워크 및 도구의 광범위한 롱테일을 목표로 삼을 것입니다.

또한: Red Hat Desktop과 Fedora Hummingbird: 귀하에게 적합한 AI 개발 Linux 경로는 무엇입니까?

두 회사는 Lightwell 엔지니어들이 문제를 제출하고, 패치를 제안하고, 중요한 구성 요소를 포크하거나 교체하는 대신 기존 프로젝트 리더와 함께 공동 유지 관리할 것이라고 말했습니다. 업스트림 유지관리자가 수정 사항에 동의하지 않거나 이전 지점 지원을 거부하는 경우에도 Lightwell은 고객을 위해 강화된 백포트를 계속 제공할 수 있습니다. 그러나 IBM과 Red Hat은 기본 경로가 업스트림 우선이며 정보 센터가 기업 생산 수요와 커뮤니티 릴리스 흐름 사이의 가교 역할을 한다고 주장했습니다.

기회로서의 공급망 위험

동시에 IBM과 Red Hat은 “이러한 기능은 상용 구독을 통해 제공되므로 기업은 엔터프라이즈급 검증 및 라이프사이클 관리를 통해 보안 패치를 기존 소프트웨어 공급망에 직접 통합할 수 있습니다.”라고 명시적으로 밝혔습니다.

이러한 구독은 새로운 배포판이 아닌 기존 소프트웨어 공급망에 대한 오버레이로 포지셔닝됩니다. Lightwell은 회사에서 이미 사용하고 있는 CI/CD(지속적 통합 및 지속적인 배포), 레지스트리 및 SBOM(소프트웨어 자재 명세서) 프로세스에 연결하여 API, 카탈로그 및 통합을 통해 검증된 수정 사항 및 정책 결정을 제공합니다.

또한: 비즈니스 설계자가 기업 AI 혁명을 이끌 준비가 되어 있는 이유

IBM의 소프트웨어 담당 수석 부사장인 Rob ⁠Thomas는 Reuters에 “이 서비스는 향후 30일 내에 상용 서비스로 출시될 것”이라고 말했습니다. 아마도 사용된 패키지 수에 따라 가격이 책정될 이 구독은 고객에게 “오픈 소스가 프로덕션에서 사용하기에 안전하다는 정보 센터의 승인 스탬프”를 제공할 것입니다.

그 서비스는 모두 훌륭하고 훌륭하며 확실히 두 강력한 회사는 엄청난 돈을 투자하고 이익을 얻을 자격이 있지만 업스트림 오픈 소스 개발자와 그들의 비즈니스는 어떻게 이 새로운 접근 방식에 적합합니까? 제안된 신뢰할 수 있는 기업 정보센터가 사실상 대기업의 문지기 역할을 하게 될까요? 패치가 모두 업스트림 저장소에 배치된다면 고객은 정확히 무엇에 대한 비용을 지불하게 됩니까?

모두 좋은 질문이지만 지금 당장은 좋은 답이 없습니다. 계속 지켜봐 주시기 바랍니다.

공식 정보 바로가기

공식 정보 바로가기

관련 기사

댓글 남기기