IBM и Red Hat перевели проект Lightwell из стадии концепции в полноценный продукт для обеспечения безопасности цепочек поставок ПО. Инструмент предназначен для защиты open-source репозиториев от атак, использующих генеративный ИИ для внедрения уязвимостей или вредоносного кода. Решение автоматизирует проверку доверия к коду, помогая разработчикам сохранять целостность проектов в условиях роста автоматизированных киберугроз.

Lightwell фокусируется на верификации происхождения кода и анализе изменений, которые могут быть сгенерированы или изменены с помощью нейросетей. Платформа интегрируется в существующие процессы разработки, предоставляя инструменты для отслеживания истории правок и оценки рисков, связанных с внешними зависимостями. Это критически важно для корпоративных сред, где использование сторонних библиотек требует строгого контроля безопасности.

Разработка направлена на борьбу с так называемыми «отравленными» коммитами, которые злоумышленники могут создавать в промышленных масштабах с помощью ИИ-инструментов. Система анализирует паттерны поведения контрибьюторов и качество кода, выявляя аномалии, которые могут указывать на попытки внедрения бэкдоров или скрытых ошибок в критически важные компоненты инфраструктуры.

Ключевые факты

  • Продукт Lightwell разработан совместными усилиями IBM и Red Hat для защиты цепочек поставок ПО.
  • Основная задача системы — противодействие атакам, использующим генеративный ИИ для внедрения уязвимостей в open-source проекты.
  • Инструмент автоматизирует проверку доверия к коду и отслеживает аномалии в коммитах, созданных с помощью нейросетей.
  • Решение направлено на минимизацию рисков при использовании сторонних библиотек в корпоративных средах разработки.