13/07/2026 di Giancarlo Calzetta

Ibm e Red Hat puntano sull'AI per proteggere l'open source

Le due aziende presentano Lightwell, piattaforma AI per la correzione delle vulnerabilità nell'open source. Oltre 6.500 dipendenze già certificate e un investimento da 5 miliardi di dollari.

Lightwell, Linux_OpenSource.png

Nuovo progetto di Ibm e Red Hat: la piattaforma Lightwell automatizza la chiusura delle vulnerabilità nelle dipendenze software, senza imporre aggiornamenti invasivi. L’obiettivo è quello di ridurre il rischio per le imprese che sempre più usano applicazioni connesse a dipendenze open source.

L'open source, infatti, rappresenta oggi la spina dorsale dello sviluppo software moderno, ma è anche uno dei punti più delicati della sicurezza informatica. Secondo Ibm e Red Hat, fino al 90% del codice delle applicazioni enterprise è costituito da componenti open source e, nel solo 2025, questi hanno registrato 9.800 miliardi di download. Parallelamente, le codebase aziendali contengono in media 581 vulnerabilità, mentre la disponibilità di exploit generati dall'Intelligenza Artificiale sta aumentando la pressione sui tradizionali processi di patch management.

Per rispondere a questo scenario, la due società (una controllata dell'altra) hanno annunciato Lightwell, una piattaforma che sfrutta l'AI per automatizzare la correzione delle vulnerabilità software su larga scala, con l'obiettivo di rafforzare la fiducia nell'open source anche nell'era dell'Intelligenza Artificiale.

L'AI entra nel patch management

Alla base di Lightwell c'è un concetto semplice ma innovativo: portare l'automazione direttamente nel processo di remediation, evitando alle aziende di affrontare aggiornamenti complessi ogni volta che viene scoperta una vulnerabilità. La piattaforma utilizza una pipeline che combina modelli di AI generativa, modelli open source e competenze ingegneristiche per individuare, verificare e correggere automaticamente le vulnerabilità presenti nelle dipendenze software più critiche. L'obiettivo è applicare le correzioni direttamente alle versioni utilizzate in produzione, senza costringere i team IT a effettuare complessi upgrade upstream che spesso richiedono lunghi cicli di test e possono introdurre incompatibilità. Secondo IBM e Red Hat, questo approccio consente di ridurre sensibilmente il divario tra la velocità dell'innovazione software e le esigenze di sicurezza e compliance delle imprese.

Lightwell viene proposta attraverso due componenti complementari. La prima è Lightwell Network, già disponibile commercialmente. Il servizio mette a disposizione un catalogo iniziale di oltre 6.500 dipendenze software corrette, firmate digitalmente e certificate, compatibili con i principali ecosistemi di sviluppo, tra cui Java e Python. Oltre ai pacchetti aggiornati, vengono distribuiti anche codice sorgente, documentazione di conformità e Software Bill of Materials (SBOM), così da integrarsi direttamente nelle pipeline DevSecOps esistenti senza modificare il codice applicativo.

La seconda componente è Lightwell Clearinghouse Premier, inizialmente disponibile soltanto per un numero limitato di organizzazioni del settore finanziario. La piattaforma nasce come ambiente sicuro per la gestione delle vulnerabilità soggette a embargo, consentendo alle organizzazioni partecipanti di condividere informazioni sensibili e richiedere patch o soluzioni dedicate prima della divulgazione pubblica delle falle. L'obiettivo dichiarato è estendere progressivamente il servizio anche a comparti critici come pubblica amministrazione, sanità e telecomunicazioni.

Un investimento da 5 miliardi di dollari per un ecosistema completo

Lightwell rappresenta uno dei pilastri dell'investimento da 5 miliardi di dollari annunciato da Ibm e Red Hat nel maggio 2026 per rafforzare la sicurezza dell'ecosistema open source. L'iniziativa può contare su un'organizzazione composta da oltre 20.000 ingegneri che supervisionano e alimentano il motore di remediation della piattaforma, combinando automazione e competenze umane per accelerare la produzione di correzioni validate. L'obiettivo è far crescere rapidamente il catalogo di pacchetti protetti, passando dalle attuali migliaia a milioni di componenti software. Secondo Matt Hicks, presidente e Ceo di Red Hat, Lightwell rappresenta un cambiamento strutturale nel modo in cui le aziende proteggeranno il software enterprise, offrendo un'infrastruttura di fiducia capace di sostenere l'adozione dell'open source anche nell'era dell'AI.

Un elemento centrale della strategia è la costruzione di un ecosistema di partner che renda la protezione realmente distribuita. Tra i partner tecnologici figurano Aws, Amd, F5, GitLab, Intel, JFrog, Microsoft, Nvidia, Palo Alto Networks e ServiceNow, chiamati a integrare le capacità di Lightwell nei rispettivi ambienti tecnologici. Parallelamente, importanti società di consulenza e system integration, tra cui Accenture, Deloitte, EY, HCLTech, Infosys, Kyndryl, Ntt Data e Tata Consultancy Services, supporteranno le imprese nell'adozione della piattaforma, nella gestione degli SBOM e nell'integrazione delle pipeline di sviluppo.

L'obiettivo è creare una difesa coordinata della software supply chain, in grado di aggiornare contemporaneamente applicazioni, infrastrutture cloud e strumenti di sviluppo nel momento stesso in cui una correzione viene resa disponibile. Un progetto concreto e indispensabile che ha finalmente preso forma per arginare la crescita preoccupante ed esponenziale degli attacchi ai repository Open Source.

scopri altri contenuti su

ARTICOLI CORRELATI