IBM und Red Hat haben am 28. Mai 2026 das Project Lightwell angekündigt: ein auf Enterprise-Open-Source-Software spezialisiertes Security-Clearinghouse als zentrale Anlaufstelle für Sicherheitslücken, hinter dem ein Budget von 5 Milliarden US-Dollar und 20.000 Entwickler stehen.
Der Anlass sind die über 40.000 CVEs, die im Jahr 2024 veröffentlicht wurden. IBM rechnet bis Ende 2026 sogar mit bis zu 59.000 CVEs. Alleine beim Kernel werden täglich im Schnitt 13 CVEs veröffentlicht. Anthropics KI-Modell Mythos Preview hat in einem Vorab-Scan von Open-Source-Software in kürzester Zeit knapp 3.900 Schwachstellen mit hohem oder kritischem Schweregrad identifiziert.
Die drei Säulen des Lightwell-Projekts
Project Lightwell setzt auf drei Säulen: Erstens eine koordinierte Anlaufstelle, über die Unternehmen Sicherheitslücken vertraulich melden können, ohne eigenen Quellcode offenzulegen. In der Folge entwickelt IBM den Patch und reicht ihn anschließend Upstream ein.
Zweitens liefert IBM Sicherheits-Fixes direkt für die Software-Versionen, die Unternehmen bereits im Einsatz haben, ohne dass diese erst auf eine neuere Version umsteigen müssen. Drittens übernimmt KI die erste Analyse und entwirft Lösungsvorschläge für gefundene Lücken, die anschließend von erfahrenen Entwicklern geprüft und in die jeweiligen Open-Source-Projekte eingebracht werden. Bereits jetzt haben sich elf große Finanzinstitute als Early Adopter angemeldet, darunter Goldman Sachs, JPMorgan Chase, Visa und Mastercard.
Berechtigte Fragen
In der Community gibt es allerdings berechtigte Fragen: Sind KI-generierte Patches gut genug für die Upstream-Akzeptanz? Bekommen zahlende Kunden Fixes früher als die Community? Und was passiert mit Projekten, die faktisch keine aktiven Maintainer mehr haben? Red Hat betont, am Prinzip Upstream First festzuhalten, wie es der European Cyber Resilience Act für in Europa vertriebene Software ohnehin vorschreibt.
Foto von Ali Gündoğdu auf Unsplash
