IBM и Red Hat перевели проект Lightwell из стадии концепции в полноценный продукт для обеспечения безопасности цепочек поставок ПО. Инструмент предназначен для защиты open-source репозиториев от атак, использующих генеративный ИИ для внедрения уязвимостей или вредоносного кода. Решение автоматизирует проверку доверия к коду, помогая разработчикам сохранять целостность проектов в условиях роста автоматизированных киберугроз.
Lightwell фокусируется на верификации происхождения кода и анализе изменений, которые могут быть сгенерированы или изменены с помощью нейросетей. Платформа интегрируется в существующие процессы разработки, предоставляя инструменты для отслеживания истории правок и оценки рисков, связанных с внешними зависимостями. Это критически важно для корпоративных сред, где использование сторонних библиотек требует строгого контроля безопасности.
Разработка направлена на борьбу с так называемыми «отравленными» коммитами, которые злоумышленники могут создавать в промышленных масштабах с помощью ИИ-инструментов. Система анализирует паттерны поведения контрибьюторов и качество кода, выявляя аномалии, которые могут указывать на попытки внедрения бэкдоров или скрытых ошибок в критически важные компоненты инфраструктуры.
Ключевые факты
- Продукт Lightwell разработан совместными усилиями IBM и Red Hat для защиты цепочек поставок ПО.
- Основная задача системы — противодействие атакам, использующим генеративный ИИ для внедрения уязвимостей в open-source проекты.
- Инструмент автоматизирует проверку доверия к коду и отслеживает аномалии в коммитах, созданных с помощью нейросетей.
- Решение направлено на минимизацию рисков при использовании сторонних библиотек в корпоративных средах разработки.