// COMPUTERBASE — LINUX & OPEN SOURCE
Project Lightwell: IBM und Red Hat wollen das Schließen von Sicherheitslücken beschleunigen
IBM, Red Hat und Deloitte haben eine Zusammenarbeit rund um Project Lightwell angekündigt. Ziel ist es, Schwachstellen in Open-Source-Software schneller zu erkennen, zu bewerten und mit geprüften Patches zu schließen. Im Fokus stehen vor allem regulierte Branchen, in denen lange Reaktionszeiten zum Problem werden können.
Open-Source-Komponenten sind aus moderner Unternehmenssoftware kaum noch wegzudenken. Sie stecken in Betriebssystemen, Entwicklerwerkzeugen, zahlreichen Fachanwendungen und so weiter. Gleichzeitig entsteht genau daraus ein Problem: Wird eine Sicherheitslücke in einer weit verbreiteten Bibliothek entdeckt, müssen Unternehmen zunächst herausfinden, ob sie betroffen sind, wie kritisch die Schwachstelle ist und ob oder wann ein brauchbarer Patch verfügbar ist.
Mit Project Lightwell wollen IBM und Red Hat diesen Prozess stärker bündeln. Die Zusammenarbeit richtet sich insbesondere an Organisationen mit strengen Compliance-Vorgaben, etwa aus dem Finanzsektor, dem Gesundheitswesen oder anderen regulierten Bereichen.
Project Lightwell wurde von IBM und Red Hat als Sicherheitsinitiative für Open-Source-Software vorgestellt. Dahinter steht die Idee eines vertrauenswürdigen Zwischenraums („Clearinghouse“), in dem Unternehmen Schwachstellen melden, bewerten lassen und geprüfte Korrekturen erhalten können. Das soll verhindern, dass jede Organisation denselben Analyse- und Patch-Aufwand allein stemmen muss.
Der Ansatz ist auch deshalb relevant, weil viele Sicherheitslücken nicht nur einzelne Anwendungen betreffen. Häufig sitzen sie in Basiskomponenten, die von zahlreichen Programmen genutzt werden. Ein Beispiel aus der Vergangenheit ist Log4Shell: Die Schwachstelle in Log4j zeigte, wie schwer es sein kann, eine weit verbreitete Open-Source-Komponente in allen betroffenen Systemen zu identifizieren und zeitnah zu aktualisieren.
IBM und Red Hat setzen bei Project Lightwell nicht nur auf klassische Sicherheitsarbeit, sondern auch auf KI-gestützte Prozesse. Diese sollen unter anderem dabei helfen, große Mengen an Open-Source-Code zu prüfen, Schwachstellen zu priorisieren und Patches vorzubereiten. Vollständig ersetzt wird die Arbeit von Entwicklern und Sicherheitsexperten dadurch nicht. Gerade bei sicherheitskritischen Änderungen bleibt eine technische Prüfung notwendig, damit ein Patch nicht neue Probleme verursacht.
IBM spricht im Zusammenhang mit Project Lightwell von einer Investition in Milliardenhöhe und von mehr als 20.000 beteiligten Ingenieuren. Es handelt sich also nicht nur um ein einzelnes Tool, sondern um eine breiter angelegte Initiative für die Absicherung von Software-Lieferketten.
Insbesondere RedHat ist in diesem Feld schon seit längerer Zeit aktiv. So lieferte das Unternehmen eine Einschätzung zu Claude Mythos. Anthropics Modell gilt als Beschleuniger für das automatische Finden von Schwachstellen und soll zudem in der Lage sein, autonom Exploits zu entwickeln.
Die Rolle des Beratungsunternehmens Deloitte liegt weniger in der Entwicklung einzelner Komponenten, sondern in der Umsetzung bei Unternehmen. Gerade größere Organisationen haben oft stark gewachsene IT-Landschaften, in denen Anwendungen, Abhängigkeiten und Sicherheitsprozesse über viele Teams verteilt sind. Selbst wenn ein Patch verfügbar ist, bedeutet das noch nicht, dass er schnell und kontrolliert im Produktivsystem Anwendung finden kann.
Deloitte soll hier offenbar helfen, die Abläufe in bestehende Sicherheits- und Betriebsprozesse einzubinden. Für Unternehmen ist das ein wichtiger Punkt: Schwachstellenmanagement endet nicht bei der technischen Verfügbarkeit eines Patches, sondern erst bei dessen getesteter und dokumentierter Einführung.