Dirección de la oficina
Sevilla, España
Sevilla, España
Número de teléfono
+(34) 624 816 969
Dirección de correo electrónico
Disponible en Google Play
Sevilla, España
Sevilla, España
+(34) 624 816 969
by ForgeNEX El software de código abierto se ha convertido en la columna vertebral de la empresa moderna. Según datos recientes, el 90% de las compañías del Fortune 500 lo integra en sus cadenas de suministro de software. Sin embargo, esta dependencia masiva viene acompañada de un lado oscuro: las vulnerabilidades de seguridad. Identificar y parchear estos fallos es una batalla interminable para los equipos de seguridad, que a menudo se ven desbordados por la velocidad a la que aparecen nuevas amenazas.
Tabla de contenidos [Mostrar]
IBM y Red Hat han anunciado Project Lightwell, una iniciativa que movilizará 5.000 millones de dólares y 20.000 ingenieros para construir un 'centro de compensación empresarial' dedicado a acelerar el descubrimiento y la remediación de vulnerabilidades en software de código abierto. Este centro actuará como una capa de coordinación de seguridad impulsada por inteligencia artificial, proporcionando a las empresas la capacidad de integrar parches directamente en sus cadenas de suministro de software existentes.
Ashesh Badani, vicepresidente senior y jefe de Producto de Red Hat, explicó a CSOonline que 'los avances en las herramientas de IA han roto el mapa del parcheo, que es la capacidad de descubrir vulnerabilidades en el software sin perder la velocidad de remediación'. En su opinión, 'todo el mundo está ejecutando software de código abierto, y el desafío es no poder arreglar las vulnerabilidades con la suficiente rapidez'.
Los datos son alarmantes: casi 50.000 vulnerabilidades y exposiciones comunes (CVE) se publicaron en 2025. El Project Glasswing de Anthropic, impulsado por su modelo Mythos Preview, encontró cerca de 3.900 vulnerabilidades previamente no descubiertas de alta o crítica gravedad en software de código abierto poco después de su lanzamiento. Esto demuestra que el problema no solo es grande, sino que crece exponencialmente.
IBM es uno de los ecosistemas comerciales de código abierto más amplios, utilizando más de 62.000 paquetes y operando en Linux, Kubernetes, Kafka, Terraform, Java y otras plataformas. La compañía ya proporciona gestión del ciclo de vida, validación y parcheo para elementos dentro de esos entornos. Con Project Lightwell, estos principios se aplicarán a marcos de IA más amplios, bibliotecas independientes, toolchains de lenguaje y plataformas de streaming de datos.
El proyecto ofrecerá correcciones validadas al código de código abierto ya en uso en entornos empresariales, facilitando la remediación sin interrumpir la estabilidad, la certificación o el cumplimiento normativo. No se requieren actualizaciones ni acceso al código fuente; Project Lightwell aplicará retroportabilidad (backporting) de las correcciones a versiones exactas de dependencias que ya han sido probadas e implementadas. Opera sobre manifiestos de configuración fundamentales como pom.xml. De esta manera, el código permanece dentro de entornos empresariales controlados cuando se despliegan los artefactos parcheados. El enfoque inicial será Java/Maven, pero el proyecto se expandirá posteriormente a PyPI, npm, Go y otros.
Las empresas tendrán la capacidad de compartir vulnerabilidades sensibles bajo embargo a través de un 'modelo de intermediario seguro' y recibir parches validados que abarcan tanto plataformas de Red Hat como código independiente de la comunidad. También podrán desplegar correcciones a lo largo de cadenas de dependencias, reportar y abordar problemas en entornos de producción activos, y compartir correcciones aguas arriba para que la comunidad de código abierto en general pueda incorporarlas.
Badani ha reconocido que 'queremos asegurarnos de que cualquier corrección que proporcionemos a las empresas a través del centro de compensación también encuentre su camino de vuelta a la comunidad de código abierto que desarrolló [el código]'. Por ejemplo, si se parchea un fragmento de código en Python, la corrección debería devolverse rápidamente a la comunidad Python. Con Project Lightwell, ese proceso puede lograrse mediante un 'mapa seguro'.
Gracias al uso de IA avanzada y el trabajo con los principales contribuidores de código abierto, los ingenieros de IBM y Red Hat se centrarán en conectar los entornos upstream y downstream para que las correcciones estén preparadas para la empresa. También desarrollarán parches y realizarán revisiones y clasificación de vulnerabilidades de 'alto volumen', así como refuerzo de dependencias.
Las plantillas actuales de IBM y Red Hat proveerán una red de 20.000 ingenieros, y las compañías ampliarán estos equipos según sea necesario. Las empresas aprovecharán los modelos fundacionales provenientes de laboratorios líderes, así como sus propias herramientas y frameworks de IA desarrollados internamente. Los 5.000 millones de dólares se utilizarán para dotar a los equipos de herramientas de IA y construir la infraestructura operativa interna.
Esta combinación de IA y experiencia humana es clave. Como señala Badani, 'podemos abordar [el problema] con una combinación de herramientas de IA y conocimiento y experiencia humanos. La combinación de ambos ofrece un mejor resultado que usar sólo uno u otro'. Esto contrasta con otras tendencias que buscan sustituir a los ingenieros humanos por IA, como se ha visto en Skipper: el agente de IA que despliega sin pedir opinión.
Entre los primeros adoptantes de Project Lightwell se encuentran Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa y Wells Fargo. Tras el periodo inicial de diseño, IBM y Red Hat incorporarán progresivamente más clientes al proyecto mediante un modelo de suscripción.
David Shipley, de Beauceron Security, ha calificado de 'desesperadamente necesaria' este tipo de iniciativas si las empresas quieren salvar el código abierto. Según Shipley, 'la época en la que billones de dólares en valor dependían de voluntarios terminó de forma abrupta con Mythos, y la factura del código abierto finalmente ha llegado. Las empresas tendrán que pagar o lo perderán'.
En su opinión, 'si no encontramos una forma de invertir en el código abierto, lo que cerraría un problema de equidad largamente existente, la alternativa es que cada uno construya su propio código a medida usando IA'. Esto sería 'enormemente ineficiente' desde el punto de vista computacional y medioambiental.
Shipley espera que 'esto impulse a otros a actuar'. La iniciativa de IBM y Red Hat podría marcar un antes y un después en la forma en que las empresas abordan la seguridad del código abierto. No es solo una cuestión técnica, sino también económica y estratégica. Como se ha visto en La gobernanza de agentes IA: Snowflake apuesta por Natoma y el protocolo MCP para evitar el caos empresarial, la coordinación y la estandarización son esenciales para evitar el caos.
Badani ha subrayado que, aunque la IA es excelente para descubrir problemas de seguridad en código abierto, el proceso de parcheo puede seguir siendo complejo. Las correcciones deben enviarse upstream, distribuirse a la comunidad de código abierto y luego volver a fluir hacia clientes y usuarios. 'Encontrar el error es una cosa, y la otra son todos los pasos necesarios para remediarlo realmente. Ese tiempo adicional es la brecha que estamos intentando ayudar a cerrar'.
Al subrayar la gravedad del problema, IBM y Red Hat ya han recibido una 'avalancha de solicitudes entrantes' desde el anuncio de Project Lightwell. Badani advierte que 'esto no va a detenerse pronto', y añade: 'Incluso si conseguimos resolver con éxito el conjunto inicial de desafíos que nos llegan, esto será algo que las empresas van a necesitar de forma continua o recurrente'.
Project Lightwell representa un cambio de paradigma en la seguridad del software de código abierto. No solo aborda el problema inmediato de las vulnerabilidades, sino que establece un modelo sostenible para el futuro. La colaboración entre gigantes tecnológicos, instituciones financieras y la comunidad de código abierto podría ser la clave para mantener la innovación sin sacrificar la seguridad. Como se ha visto en Project Lightwell: La apuesta de 5.000 millones de IBM y Red Hat para salvar el código abierto empresarial, esta iniciativa podría tener un impacto duradero en la industria.
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.