IBM、Red Hat 与 Palo Alto 联手保护开源软件安全

IBM、其子公司 Red Hat 以及 Palo Alto Networks 宣布三方携手合作，帮助企业识别开源软件中的安全漏洞，并针对各类威胁（尤其是由 AI 生成的威胁）部署防护措施。

此次合作将综合运用 Palo Alto 的网络级虚拟补丁技术（集成于其 Prisma 安全软件中），以及 IBM 与 Red Hat 联合推进的 Project Lightwell 软件修复项目。该项目旨在帮助企业加固开源软件的安全防线。与此同时，双方厂商的漏洞情报数据也将共同用于威胁检测与修复工作。

Project Lightwell 前身为今年5月正式宣布的 Project Lighthouse，这是 IBM 与 Red Hat 投资50亿美元打造的重点项目。IBM 将其定位为"一个可信的企业级信息交换中心，并配备全球工程师团队，以实现大规模漏洞识别与修复"。

IBM 在5月的声明中表示："该信息交换中心将充当安全协调层，利用先进的 AI 能力对海量开源代码中的修复方案进行验证和测试。相关能力将以商业订阅形式提供，使企业能够将经过企业级验证和生命周期管理的安全补丁直接集成到现有软件供应链中。"

IBM 援引 Worldmetric 的研究数据指出，开源软件已成为现代企业基础设施的核心支柱，超过90%的《财富》500强企业依赖开源软件运营。

IBM 与 Red Hat 表示，目前已与多家机构联合开展 Project Lightwell 的早期测试，合作方包括美国银行、纽约梅隆银行、花旗银行、高盛、摩根大通、万事达卡、摩根士丹利、加拿大皇家银行、道富银行、Visa 和富国银行。

此次 Palo Alto、IBM 与 Red Hat 三方合作的核心内容包括以下几个方面：

漏洞覆盖范围：为开源软件、商业应用程序、运营技术环境及互联设备提供全面防护。

超前防护能力：在官方补丁发布之前，企业即可获得虚拟补丁保护，从而在修复工作推进期间有效降低安全风险。

快速响应部署：一旦发现新漏洞，网络层面的防护措施可在当天完成部署，并以缩短从漏洞验证发现到防护落地的时间为长期目标。

三方公司还表示，计划在参与合作的软件厂商、技术提供商和安全团队之间建立安全的漏洞信息共享机制，以加速防护方案的开发，并提供关于真实漏洞利用尝试的匿名遥测数据。

Palo Alto Networks 董事长兼首席执行官 Nikesh Arora 在声明中表示："AI 已将漏洞从被发现到被利用的窗口期从数周压缩至几分钟，传统的补丁修复方式已无法跟上这一节奏。通过与 IBM 和 Red Hat 合作，我们正在将主动权重新交还给防御方。这一强强联合让我们能够在网络层面中和威胁，同时确保全球客户的业务不间断运行。"

IBM 与 Palo Alto 在安全与企业级网络集成领域有着长期深厚的合作基础。近期，两家公司宣布将联合推出"量子安全就绪"服务，帮助企业客户识别密码学层面的安全隐患、评估量子计算相关风险，并加速部署抗量子安全技术。

此外，双方今年早些时候还宣布合作推出一项服务，专门帮助企业发现、评估并优先处理云端 AI 应用部署中存在的安全与合规风险。

Q&A

Q1：Project Lightwell 是什么？它的主要目标是什么？

A：Project Lightwell 是 IBM 与 Red Hat 联合推进的开源软件安全修复项目，前身为今年5月宣布的 Project Lighthouse，总投资50亿美元。其核心目标是构建一个可信的企业级漏洞信息交换中心，借助 AI 能力对大规模开源代码的修复方案进行验证和测试，并通过商业订阅形式，帮助企业将安全补丁无缝集成到现有软件供应链中。

Q2：Palo Alto 的虚拟补丁技术有什么优势？

A：Palo Alto 的虚拟补丁技术基于网络层实现，最大优势在于速度和超前防护能力。当新漏洞被发现时，相关网络防护措施可在当天完成部署，无需等待官方补丁发布。这对于应对 AI 驱动的威胁尤为关键，因为 AI 已将漏洞从发现到被利用的时间窗口从数周大幅压缩至几分钟，传统补丁方式已难以应对。

Q3：哪些企业已经在参与 Project Lightwell 的早期测试？

A：目前已有多家知名金融机构参与 Project Lightwell 的早期测试，包括美国银行、纽约梅隆银行、花旗银行、高盛、摩根大通、万事达卡、摩根士丹利、加拿大皇家银行、道富银行、Visa 和富国银行。这些机构均为全球系统性重要金融机构，其参与也体现了该项目在企业级安全领域的重要价值。