El software de código abierto es el esqueleto digital de las empresas modernas: el 90% de las compañías del Fortune 500 lo integra en sus cadenas de suministro. Sin embargo, su misma naturaleza colaborativa lo convierte en un blanco constante de vulnerabilidades. Identificar y parchear esos fallos se ha convertido en una batalla interminable para los equipos de seguridad, que a menudo se ven desbordados por el volumen de amenazas y la complejidad de las dependencias.

Una inversión masiva para un problema crítico

Para hacer frente a este desafío, IBM y Red Hat han lanzado Project Lightwell, una iniciativa que movilizará 5.000 millones de dólares y el talento de 20.000 ingenieros. El objetivo es construir un “centro de compensación empresarial” que acelere el descubrimiento y la remediación de vulnerabilidades en software de código abierto. Según anunciaron las compañías, este centro actuará como una “capa de coordinación de seguridad” potenciada por inteligencia artificial, permitiendo a las empresas integrar parches directamente en sus cadenas de suministro de software existentes.

El proyecto, aún en fase de diseño con un grupo inicial de 11 socios del sector financiero, se ofrecerá finalmente como un servicio de suscripción comercial. Como señaló Ashesh Badani, vicepresidente senior y jefe de Producto de Red Hat, “los avances en las herramientas de IA han roto el mapa del parcheo, que es la capacidad de descubrir vulnerabilidades en el software sin perder la velocidad de remediación”. En su opinión, “todo el mundo está ejecutando software de código abierto, y el desafío es no poder arreglar las vulnerabilidades con la suficiente rapidez”.

Cerrando la brecha de remediación

Los números hablan por sí solos: en 2025 se publicaron casi 50.000 vulnerabilidades y exposiciones comunes (CVE). Iniciativas como el Project Glasswing de Anthropic, basado en su modelo Mythos Preview, descubrieron cerca de 3.900 vulnerabilidades previamente desconocidas de alta o crítica gravedad en software de código abierto. Este aluvión de hallazgos supera la capacidad de respuesta de muchas organizaciones.

IBM, considerado uno de los ecosistemas comerciales de código abierto más amplios, utiliza más de 62.000 paquetes y opera en plataformas como Linux, Kubernetes, Kafka, Terraform y Java. La compañía ya proporciona gestión del ciclo de vida, validación y parcheo para esos entornos. Con Project Lightwell, esos mismos principios se aplicarán a marcos de IA más amplios, bibliotecas independientes, toolchains de lenguaje y plataformas de streaming de datos.

Parches sin interrupciones

Una de las claves del proyecto es que no requiere actualizaciones ni acceso al código fuente. Project Lightwell aplicará retroportabilidad (backporting) de las correcciones a versiones exactas de dependencias ya probadas e implementadas, operando sobre manifiestos de configuración como pom.xml. De esta forma, el código permanece dentro de entornos empresariales controlados cuando se despliegan los artefactos parcheados. El enfoque inicial será Java/Maven, pero se expandirá posteriormente a PyPI, npm, Go y otros ecosistemas.

Las empresas podrán compartir vulnerabilidades sensibles bajo embargo a través de un “modelo de intermediario seguro” y recibir parches validados que cubren tanto plataformas de Red Hat como código independiente de la comunidad. También podrán desplegar correcciones a lo largo de cadenas de dependencias, reportar y abordar problemas en entornos de producción activos, y compartir correcciones aguas arriba para que la comunidad de código abierto las incorpore.

Badani ha subrayado la importancia de devolver las correcciones a la comunidad: “queremos asegurarnos de que cualquier corrección que proporcionemos a las empresas a través del centro de compensación también encuentre su camino de vuelta a la comunidad de código abierto que desarrolló [el código]”. Por ejemplo, si se parchea un fragmento de código en Python, la corrección debería regresar rápidamente a la comunidad Python. Con Project Lightwell, ese proceso se logra mediante un “mapa seguro”.

IA y humanos: una alianza necesaria

El proyecto aprovechará modelos fundacionales de laboratorios líderes, así como herramientas y frameworks de IA desarrollados internamente por IBM y Red Hat. Los 5.000 millones de dólares se destinarán a dotar a los equipos de herramientas de IA y construir la infraestructura operativa interna. Sin embargo, Badani insiste en que la IA no reemplazará a los humanos: “podemos abordar [el problema] con una combinación de herramientas de IA y conocimiento y experiencia humanos. La combinación de ambos ofrece un mejor resultado que usar sólo uno u otro”.

Esta filosofía se alinea con tendencias más amplias en el sector, como se discute en nuestro artículo “Del piloto a la producción: el canal tecnológico enfrenta la brecha real de la inteligencia artificial”, donde analizamos cómo la IA está transformando los procesos empresariales sin eliminar la necesidad de supervisión humana.

Adoptantes tempranos y modelo de suscripción

Entre los primeros adoptantes de Project Lightwell se encuentran gigantes financieros como Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa y Wells Fargo. Tras el periodo inicial de diseño, IBM y Red Hat incorporarán progresivamente más clientes mediante un modelo de suscripción.

Una llamada a la acción para la industria

David Shipley, de Beauceron Security, ha calificado la iniciativa como “desesperadamente necesaria”. Según él, la época en la que billones de dólares en valor dependían de voluntarios “terminó de forma abrupta” con Mythos, y la factura del código abierto finalmente ha llegado. Las empresas tendrán que pagar o lo perderán. “Si no encontramos una forma de invertir en el código abierto, lo que cerraría un problema de equidad largamente existente, la alternativa es que cada uno construya su propio código a medida usando IA”, lo que sería “enormemente ineficiente” desde el punto de vista computacional y medioambiental.

Este llamado a la acción resuena con los desafíos que enfrentan las empresas en la gestión de infraestructuras críticas, como exploramos en “Hardening y mantenimiento de servidores Linux: la base de una infraestructura segura”, donde destacamos la importancia de mantener sistemas actualizados y seguros.

Mantener a los humanos en el proceso

Badani ha subrayado que, aunque la IA es excelente para descubrir problemas de seguridad, el proceso de parcheo sigue siendo complejo. Las correcciones deben enviarse upstream, distribuirse a la comunidad y luego volver a fluir hacia clientes y usuarios. “Encontrar el error es una cosa, y la otra son todos los pasos necesarios para remediarlo realmente. Ese tiempo adicional es la brecha que estamos intentando ayudar a cerrar”.

IBM y Red Hat ya han recibido una “avalancha de solicitudes entrantes” desde el anuncio, lo que demuestra la urgencia del problema. Badani advierte que “esto no va a detenerse pronto. Incluso si conseguimos resolver con éxito el conjunto inicial de desafíos que nos llegan, esto será algo que las empresas van a necesitar de forma continua o recurrente”.

En un contexto donde la automatización y la orquestación son clave, Project Lightwell se presenta como un complemento a soluciones como las que analizamos en “El ajuste de recursos en Kubernetes: la solución existe, pero no confiamos en ella”, donde abordamos la resistencia a adoptar herramientas que podrían optimizar la gestión de infraestructuras.

Project Lightwell no solo promete cerrar la brecha de seguridad en el código abierto, sino que también establece un modelo de colaboración entre la empresa y la comunidad que podría redefinir la sostenibilidad del ecosistema open source. Como concluye Badani, la combinación de IA y experiencia humana es la clave para un futuro digital más seguro.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.