L’initiative Project Lightwell, d’un montant de 5 milliards de dollars, associe des systèmes d’IA à 20 000 ingénieurs pour fournir des correctifs validés directement dans les chaînes d’approvisionnement de logiciels d’entreprise, sans mises à niveau perturbatrices.
Le code open source est partout dans l’entreprise ; on estime que plus de 90 % des entreprises du Fortune 500 l’ont dans leur chaîne d’approvisionnement en logiciels. Mais le code open source regorge notoirement de vulnérabilités, et l’identification et la correction de ces bugs peuvent être une bataille sans fin pour les équipes de sécurité.
IBM et Red Hat parient qu’une nouvelle initiative, le projet Lightwell, peut contribuer à accélérer ce processus.
Annoncé aujourd’hui, le projet engagera 5 milliards de dollars et 20 000 ingénieurs IBM et Red Hat pour construire un nouveau « centre d’échange d’entreprise » afin d’accélérer la découverte et la correction des vulnérabilités des logiciels open source. Les entreprises affirment que le centre d’échange servira de « couche de coordination de la sécurité » alimentée par l’IA, donnant aux entreprises la possibilité d’intégrer des correctifs directement dans leurs chaînes d’approvisionnement logicielles existantes.
Actuellement en phase de conception avec un groupe de 11 partenaires financiers, le Projet Lightwell sera à terme proposé sous forme d’abonnement commercial.
Combler le déficit de remédiation
Les problèmes de sécurité open source ont été bien documentés : près de 50 000 vulnérabilités et expositions courantes (CVE) ont été publiées en 2025, et le projet Glasswing d’Anthropic, alimenté par son modèle Mythos Preview, a découvert environ 3 900 vulnérabilités de gravité élevée ou critique non découvertes dans les logiciels open source peu après leur lancement.
IBM est considéré comme l’un des écosystèmes open source commerciaux les plus vastes, utilisant plus de 62 000 packages et fonctionnant sur Linux, Kubernetes, Kafka, Terraform, Java et d’autres plates-formes, et assurant la gestion du cycle de vie, la validation et l’application de correctifs pour les éléments de ces environnements.
La société affirme que le projet Lightwell appliquera désormais ces mêmes principes d’ingénierie à des cadres d’IA plus larges, des bibliothèques indépendantes, des chaînes d’outils linguistiques et des plates-formes de streaming de données, afin de fournir des correctifs validés au code open source déjà utilisé dans les environnements d’entreprise. Cela peut prendre en charge la correction sans interruption de la stabilité, de la certification ou de la conformité.
Aucune mise à niveau ni accès au code source n’est requis ; Le projet Lightwell rétroportera les correctifs vers les versions de dépendances exactes qui ont déjà été testées et déployées. Il fonctionne sur des manifestes de configuration fondamentaux tels que pom.xml, de sorte que le code reste dans des environnements d’entreprise contrôlés lorsque les artefacts corrigés sont déployés. L’accent initial sera mis sur Java/Maven, mais le projet s’étendra éventuellement à PyPI, npm, Go et autres.
Les entreprises auront la possibilité de partager des vulnérabilités sensibles sous embargo via un « modèle intermédiaire sécurisé » et de recevoir des correctifs validés couvrant les plates-formes Red Hat et le code communautaire indépendant. Ils seront également en mesure de fournir des correctifs à travers les chaînes de dépendance ; signaler et résoudre les problèmes dans les environnements de production actifs ; et partagez les correctifs en amont afin que la communauté open source plus large puisse les intégrer.
« Nous voulons nous assurer que les correctifs que nous fournissons aux entreprises via le centre d’échange trouvent également leur chemin vers la communauté open source qui a développé (le code) », a expliqué Badani. Par exemple, si un morceau de code Python a été corrigé, le correctif devrait être rapidement renvoyé à la communauté Python. Avec le projet Lightwell, ce processus peut être réalisé grâce à une « carte sécurisée ».
En utilisant une IA avancée et en travaillant avec les principaux contributeurs open source, les ingénieurs IBM et Red Hat se concentreront sur la connexion des environnements en amont et en aval afin que les correctifs soient prêts pour l’entreprise. Ils développeront également des correctifs et effectueront un examen et un tri des vulnérabilités « en grand volume », ainsi que le renforcement des dépendances.
Le réseau de 20 000 ingénieurs proviendra des pools de talents existants d’IBM et de Red Hat, et les entreprises augmenteront ces équipes selon les besoins, a expliqué Badani. Les entreprises profiteront des modèles de base issus des laboratoires frontaliers, ainsi que de leurs propres outils et cadres d’IA construits en interne. Les 5 milliards de dollars serviront à équiper les équipes d’outils d’IA et à développer une infrastructure opérationnelle interne.
Parmi les premiers utilisateurs du projet Lightwell figurent Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, la Banque Royale du Canada, State Street, Visa et Wells Fargo. Après la période de conception initiale, IBM et Red Hat intégreront davantage de clients au projet Lightwell via un modèle d’abonnement.
Un appel à l’action ?
Ce type d’initiative est « désespérément nécessaire » si l’entreprise veut sauver l’open source, a noté David Shipley de Beauceron Security.
L’époque où des milliards de richesses dépendaient des bénévoles « s’est terminée violemment » avec Mythos, a-t-il noté, et le projet de loi est finalement arrivé à échéance pour l’open source. Les entreprises devront payer, sinon elles le perdront.
« Si nous ne trouvons pas un moyen d’investir dans l’open source, ce qui clôturerait une émission d’actions de longue date, l’alternative serait que chacun construise son propre code sur mesure en utilisant l’IA », a déclaré Shipley. Ce serait « un gaspillage massif » d’un point de vue informatique et environnemental.
« J’espère que cela incitera d’autres à agir », a-t-il déclaré.
Tenir les humains au courant d’une bataille continue
Badani a souligné que, même si l’IA est excellente pour découvrir les problèmes de sécurité dans le code open source, le processus de mise à jour des correctifs peut encore être fastidieux. Les correctifs doivent être envoyés en amont, distribués à la communauté open source, puis renvoyés aux clients et aux utilisateurs.
« Trouver le bug est une chose », a déclaré Badani. « L’autre concerne toutes les étapes nécessaires pour y remédier. Ce temps supplémentaire est l’écart que nous essayons de combler. »
Soulignant la gravité du problème, IBM et Red Hat ont déjà reçu une « avalanche de demandes entrantes » depuis l’annonce du projet Lightwell.
« Cela ne va pas s’arrêter de si tôt », a déclaré Badani. « Même si nous parvenions à résoudre avec succès la première série de défis qui se présentent à nous, ce sera quelque chose dont les entreprises auront besoin de manière continue ou récurrente. »
Et, alors que le discours s’est concentré sur l’élimination des ingénieurs humains au profit de l’IA, le projet Lightwell se concentre sur le contraire : « Nous pouvons résoudre (le problème) avec un mélange d’outils d’IA et de connaissances et d’expertise humaines », a déclaré Badani. « Coupler les deux donne de meilleurs résultats que d’utiliser simplement l’un ou l’autre. »
