PeterPhoto123 via Shutterstock
Ikuti ZDNET: [Tambahkan kami sebagai sumber pilihan] di Google.
—
Intisari utama ZDNET
- Lightwell adalah upaya besar-besaran untuk melindungi perangkat lunak sumber terbuka.
- IBM dan Red Hat berinvestasi dalam inisiatif keamanan masif ini.
- Kami belum tahu bagaimana layanan berbasis langganan ini akan bekerja.
—
AI adalah berkah sekaligus kutukan bagi pengembang perangkat lunak sumber terbuka. Di satu sisi, AI membantu programmer menulis kode lebih cepat dan menemukan bug lebih efisien. Di sisi lain, para pemelihara proyek (maintainer) justru kewalahan karena volume laporan bug potensial yang sangat besar.
Seperti yang baru-baru ini dikatakan Daniel Steinberg, pendiri dan pemelihara program transfer data populer cURL, "Tingkat laporan keamanan yang masuk empat hingga lima kali lebih tinggi dibandingkan tahun 2024 dan dua kali lipat kecepatan tahun 2025." Untuk pertama kalinya, dia mengaku, "Saya bekerja lebih keras dari sebelumnya, tapi banjirnya terus datang." Steinberg berada di ambang kelelahan. Karena itu, dia meminta lebih banyak perusahaan "untuk mendanai kami" sehingga mereka bisa membayar lebih banyak pengembang untuk mendistribusikan beban kerja. Kini, IBM dan anak perusahaannya, Red Hat, telah menjawab panggilan itu.
Baca juga: 4 kerentanan AI kritis ini dieksploitasi lebih cepat dari kemampuan tanggapan keamanan
Jawaban mereka adalah Project Lightwell, sebuah inisiatif bertenaga AI yang mereka deskripsikan sebagai "kekuatan pertama dari jenisnya" untuk menemukan dan memperbaiki celah keamanan pada perangkat lunak sumber terbuka secara masif. Lightwell bertujuan menjadi semacam pusat kliring (clearinghouse) untuk mengamankan komponen sumber terbuka yang menjadi fondasi TI perusahaan modern.
Namun, inisiatif ini tidak akan membayar pengembang upstream. Sebaliknya, Lightwell menyediakan alat AI bagi para insinyur IBM dan Red Hat untuk mengerjakan proyek sumber terbuka yang penting dan kritis bagi bisnis, serta membuatnya seaman mungkin. Karena model Mythos Preview milik Anthropic telah mengidentifikasi hampir 3.900 kerentanan serius dalam perangkat lunak sumber terbuka hanya dalam beberapa minggu, kebutuhan mendesak akan perbaikan yang lebih cepat sudah menjadi sangat jelas.
Untuk melangkah sejauh ini, kedua perusahaan akan menginvestasikan 5 miliar dolar AS dalam beberapa tahun ke depan untuk menghadirkan model AI tingkat frontier, perangkat, dan organisasi teknik global yang didedikasikan untuk keamanan perangkat lunak sumber terbuka. Langkah ini bukan sekadar permainan AI. Kedua perusahaan juga akan mendedikasikan 20.000 insinyur untuk menangani risiko sumber terbuka sebagai masalah rantai pasokan kelas satu, bukan sekadar pekerjaan perawatan latar belakang.
Baca juga: 5 cara memperkuat jaringan Anda melawan serangan AI berkecepatan baru
Bagaimanapun, seperti yang baru-baru ini dikemukakan oleh David Gerwitz dari ZDNET sendiri, "keamanan aplikasi tradisional sudah tidak lagi memadai." Bahkan, itu tidak ada apa-apanya.
Meningkatkan Keamanan Kode Sumber Terbuka
Inti dari Project Lightwell adalah model operasional baru yang menjembatani kesenjangan antara perusahaan dan komunitas hulu (upstream) yang membangun perangkat lunak yang mereka andalkan. Alih-alih meluncurkan program bug bounty atau layanan pemindaian kode lainnya, IBM dan Red Hat menawarkan Lightwell sebagai perantara tepercaya. Artinya, bisnis akan memasok informasi tentang perangkat lunak sumber terbuka yang mereka jalankan ke inisiatif ini. Kemudian, para insinyur Lightwell akan menggunakan AI untuk berburu celah dan mengusulkan perbaikan. Setelah itu, insinyur mereka akan bekerja sama dengan pemelihara upstream untuk menggabungkan dan mendistribusikan patch.
Perusahaan-perusahaan ini menyatakan bahwa pusat kliring ini akan menggabungkan beberapa fungsi yang saat ini terfragmentasi di berbagai tim keamanan internal, pemindai pihak ketiga, dan pemelihara komunitas. Fungsi-fungsi tersebut meliputi penemuan kerentanan berskala besar, triase dan prioritas, pengembangan patch, backporting, dan dukungan siklus hidup jangka panjang untuk versi spesifik yang benar-benar digunakan perusahaan. Jika berjalan lancar, pendekatan ini akan mengubah proses perbaikan manual yang berjalan lambat menjadi jalur remediasi (remediation pipeline) berthroughput tinggi yang tetap menghormati tata kelola proyek dan norma pengembangan terbuka.
Seperti yang dikatakan Arvind Krishna, Chairman dan CEO IBM, dalam sebuah pernyataan, "Dengan Project Lightwell, IBM dan Red Hat membantu mendefinisikan model industri baru, yang menyatukan AI, keahlian teknik, dan kolaborasi tepercaya, untuk mengamankan perangkat lunak sumber terbuka pada sumbernya dan di seluruh rantai pasokan."
Baca juga: Hampir setengah profesional keamanan siber ingin berhenti – ini alasannya
Lightwell akan memulai dengan ekosistem Maven/Java, yang kerap mengalami penyalahgunaan besar-besaran bahkan sebelum AI muncul. Proyek ini kemudian akan diperluas ke PyPI, npm, Go, dan basis kode sumber terbuka penting lainnya.
Model AI terbaru IBM akan mendukung Lightwell. Sistem ini akan dilatih untuk memindai basis kode besar, grafik dependensi, dan arsip konfigurasi guna mencari potensi kerentanan, lalu menghasilkan patch kandidat yang kemudian akan divalidasi oleh insinyur manusia sebelum apa pun dikirim ke hulu atau ke lingkungan pelanggan.
Baca juga: 10 cara AI dapat menimbulkan kerusakan yang belum pernah terjadi sebelumnya di tahun 2026
Perusahaan-perusahaan ini berpendapat bahwa pendekatan human-in-the-loop ini sangat penting agar AI dapat dipercaya menangani kode yang sensitif terhadap keamanan. Model dapat mengungkap pola dan masalah yang tidak akan sempat ditinjau oleh pemeriksa manusia, kata IBM. Namun, keputusan akhir tentang apa yang merupakan perbaikan yang aman dan dapat diterima akan tetap berada di tangan insinyur berpengalaman dan pemelihara proyek. Dalam praktiknya, Lightwell diharapkan muncul di mata komunitas sebagai kontributor besar yang terorganisir dengan baik, bukan sebagai lapisan otomatisasi yang tidak transparan yang mengirimkan pull request yang tidak diminta.
Bekerja Sama dengan Hulu
Bagi Red Hat, Project Lightwell memperluas strategi yang telah diasah selama puluhan tahun. Inisiatif ini akan mengambil kode sumber terbuka dari hulu, memperkuat dan mendukungnya untuk perusahaan, lalu mendorong perbaikan kembali ke komunitas. Perbedaannya ada pada skala. Sementara model tradisional Red Hat berfokus pada platform seperti produk mereka sendiri, termasuk Red Hat Enterprise Linux (RHEL), OpenShift, dan Ansible, Lightwell akan membidik ragam besar pustaka, kerangka kerja, dan alat yang secara diam-diam menjadi fondasi segala sesuatu, mulai dari sistem perbankan hingga jalur pipa AI.
Baca juga: Red Hat Desktop vs. Fedora Hummingbird: Jalur Linux pengembangan AI mana yang tepat untuk Anda?
Perusahaan menyatakan bahwa para insinyur Lightwell akan membuat laporan (issues), mengusulkan patch, dan ikut serta memelihara komponen-komponen penting bersama para pemimpin proyek yang sudah ada, alih-alih membuat garpu (fork) atau menggantikannya. Ketika pemelihara upstream tidak setuju dengan perbaikan atau menolak mendukung cabang yang lebih lama, Lightwell tetap dapat menyediakan backport yang diperkuat untuk pelanggannya. Namun, IBM dan Red Hat menegaskan bahwa jalur standarnya adalah mengutamakan hulu (upstream-first), dengan pusat kliring bertindak sebagai jembatan antara tuntutan produksi perusahaan dan irama rilis komunitas.
Risiko Rantai Pasokan sebagai Peluang
Pada saat yang sama, IBM dan Red Hat secara eksplisit mengatakan, "Kemampuan ini akan ditawarkan melalui langganan komersial, yang memungkinkan perusahaan mengintegrasikan sistem keamanan yang diperkuat (secure patches) secara langsung ke dalam rantai pasokan perangkat lunak yang ada dengan validasi tingkat perusahaan dan manajemen siklus hidup."
Langganan ini diposisikan sebagai lapisan tambahan pada rantai pasokan perangkat lunak yang sudah ada, bukan sistem operasi baru: Lightwell terhubung ke CI/CD, registri, dan proses SBOM yang sudah digunakan perusahaan, mengirimkan perbaikan yang telah divalidasi beserta keputusan kebijakan melalui API, katalog, dan integrasi.
Baca juga: Mengapa arsitek bisnis adalah pemimpin yang tepat untuk revolusi AI perusahaan
Rob Thomas, VP senior IBM untuk perangkat lunak, mengatakan kepada Reuters, "Layanan ini akan diluncurkan sebagai penawaran komersial dalam 30 hari ke depan." Langganan ini, yang kemungkinan akan dibandrol berdasarkan jumlah paket yang digunakan, akan memberi klien "cap persetujuan dari pusat kliring bahwa sumber terbuka (open source) mereka aman digunakan dalam produksi."
Layanan itu memang bagus, dan tentu saja kedua perusahaan raksasa ini akan menginvestasikan dana yang sangat besar dan berhak mendapat untung, tapi di manakah posisi para pengembang dan bisnis perangkat lunak sumber terbuka di hulu dalam pendekatan baru ini? Akankah pusat kliring perusahaan tepercaya yang diusulkan ini menjadi semacam penjaga gerbang (gatekeeper_) bagi perusahaan besar? Jika semua patch ditempatkan di repositori hulu, apa sebenarnya yang akan dibayar oleh pelanggan?
Itu semua adalah pertanyaan bagus, dan saat ini tidak ada jawaban yang memuaskan. Nantikan saja perkembangannya.