IBM i Red Hat ulažu 5 milijardi u bezbedniji open source dok će proverene zakrpe stizati uz pretplatu
IBM i njegov Red Hat najavili su Project Lightwell — zajedničku inicijativu vrednu 5 milijardi dolara i 20.000 inženjera, usmerenu na unapređenje bezbednosti open source softvera na kojem stoji praktično ceo savremeni IT (Linux, Java, Kubernetes, Ansible, Terraform i drugi). Zamisao je tzv. enterprise clearinghouse — centralno mesto na kojem AI pomaže da se ranjivosti pronađu, rangiraju i provere, pa onda i isporuče proverene zakrpe, uz saradnju sa timovima koji održavaju matične projekte. Inicijativa treba da predstavlja odgovor na sve što se dešavalo poslednjih meseci, ali ne treba zaboraviti na sitna slova u ugovoru sa javnošću. Gotovi proizvodi (proverene zakrpe, upravljanje životnim ciklusom) isporučivaće se pod komercijalnim uslovima, a kao prvi korisnici navode se banke (JPMorgan, Citi, Goldman Sachs, Visa, Mastercard i druge), a ne open source zajednica. IBM navodi da interno koristi preko 62.000 open source paketa, što objašnjava zašto mu ovakvo ulaganje odgovara. U saopštenju nema ni roka ni kritičke ograde.
Da se razumemo: 5 milijardi i 20.000 inženjera uperenih u problem o kojem svi pričaju je krupna i korisna stvar — izvorne popravke koriste svima, pa i onima koji ne plate ništa. Ali, ovo nije dobrotvorni rad nego budući proizvod: bezbednost open source-a će se pretvoriti u nešto što se kupuje na pretplatu, a da se pritom ljudi koji su pisali izvorni kod ni ne spominju u saopštenju. Za kompanije koje se baziraju na open source projektima, dakle, postoji dobra i loša vest. Dobra, da će popularni paketi biti bezbedniji, a loša da će se ta bezbednost plaćati, sa svim manama koje takav model sa sobom nosi.
- Dok IBM uspostavi projekat, ti uradi šta je do tebe: napravi popis zavisnosti, uvedi zaključavanje verzija, skeniraj i ažuriraj — to možeš odmah i bez ičije pretplate
- Ako ovo vidiš kao pozitivan razvoj situacije, raspitaj se šta proizvodi i usluge pokrivaju, koje pakete i koliko brzo, a šta ostaje tvoj posao — clearinghouse će upozoravati i pisati ispravke, ali će ažuriranje i dalje biti na tebi
- Moraš da poznaješ svoje proizvode. Ne možeš da osiguraš biblioteke za koje i ne znaš da su ti u kodu
- Razmisli da podržiš i sponzorišeš zajednicu koja održava kritične biblioteke od kojih zavisiš, pre nego što ih pojedu veliki dobavljači
- Pazi na vendor lock-in. Zadrži autonomiju i mogućnost da ne zavisiš samo od jednog izvora.