English 
オープンソース・ソフトウェアは、常に奇妙な駆け引きで動いてきました。.
Millions of companies use it. Some of the world’s largest businesses depend on it. Entire cloud platforms are built on it.
しかし、重要なプロジェクトの多くは、驚くほど少人数で維持されています。.
Sometimes it’s a handful of developers.
Sometimes it’s one person.
IBMとレッドハットは、特にAIが登場した現在、このモデルを維持するのはますます難しくなっていると考えています。.
IBMとRed Hatは、人工知能と大規模なエンジニアリング・サポートを使用して、オープンソースのエコシステム全体の脆弱性を特定し修正することを目的とした新しいイニシアチブであるProject Lightwellを発表しました。この取り組みを支援するため、IBMとRed Hatは今後数年間で$5億ドル(およそ8000億円)を投資するとしています。.
That’s a huge number for something most people never see.
But that’s also the point.
こちらもお読みください: インフォポートがスパイスファクトリーに参画し、単なるソフトウェアにとどまらないロジスティクス技術を推進
オープンソースに新たな問題をもたらすAI
ソフトウェア開発者にとって、AIは生産性を高めるものです。.
コードはより速く書かれます。バグの発見も早くなります。かつては何日もかかっていたセキュリティ分析も、今でははるかに速く行えるようになりました。.
問題は、オープンソースのメンテナがその結果に対処していることです。.
より多くの開発者がAIツールを使ってコードを検査し、脆弱性を特定するにつれて、バグ報告の量は増え続けています。セキュリティの発見がより早く届くようになりました。パッチ要求は山積み。.
バグを見つけることは一つのことです。.
それを修正するのはまた別の話です。.
Many open source projects simply don’t have enough maintainers to deal with the growing workload.
そのため、世界中の企業が影響を受けたソフトウェアを使い続けている間、脆弱性が解決されないまま放置されるという状況が生じます。.
IBMとレッドハットは、この問題は悪化の一途をたどっていると考えているようです。.
プロジェクト・ライトウェルの実際
The interesting part is that Project Lightwell isn’t being presented as another security scanner.
業界にはすでにたくさんあります。.
その代わりに、IBMとレッドハットは自分たちを中間に位置づけたいと考えています。.
Companies provide information about the open source components they’re running. AI systems help identify potential vulnerabilities. Engineers then review those findings and work directly with the people maintaining the software.
The goal isn’t just to tell companies they have a problem.
目的は、修正を元のプロジェクトにマージするのを助けることです。.
That’s a different approach.
多くのセキュリティ・ツールは、検知した時点で止まってしまいます。プロジェクト・ライトウェルは、修復をさらに推し進めようとしています。.
Whether it works at scale remains to be seen, but it’s clear the companies are thinking beyond vulnerability reports.
2万人のエンジニアを無視するのは難しい
この発表の中で際立っていたことがあります。.
IBMとレッドハットは、より広範なイニシアチブの一環として、2万人のエンジニアを配置する予定です。.
That’s an enormous number.
It suggests the companies aren’t treating open source security as a side project or marketing exercise.
They’re treating it as infrastructure.
That’s probably the bigger story here.
何年もの間、オープンソースのセキュリティは、しばしば裏方の仕事と見なされてきました。必要ではあっても、開発者サークルの外で議論されることはほとんどありませんでした。.
それが変わりました。.
今日、オープンソースコンポーネントの脆弱性は、銀行、病院、メーカー、政府機関、クラウドプロバイダーに同時に影響を与える可能性があります。.
賭け金は以前よりずっと高くなっています。.
Javaで始める
プロジェクト・ライトウェルは、MavenとJavaのエコシステムから始まります。.
That choice isn’t surprising.
Javaは依然として企業技術に深く組み込まれています。大企業は今でもJavaフレームワークやライブラリで無数のビジネスアプリケーションを動かしています。金融機関、通信会社、政府機関は、Javaに依存し続けています。.
It’s also an ecosystem that has experienced its share of security headaches over the years.
そこからIBMとRed Hatは、PyPI、npm、Goを含む他の主要なリポジトリに拡大する予定です。.
In other words, they’re targeting some of the most widely used software ecosystems in the world.
日本企業が注目すべき理由
この発表はIBMとレッドハットからのものかもしれませんが、その影響はこの2社にとどまりません。.
日本の企業はオープンソースソフトウェアにこれまで以上に依存しています。.
クラウド移行プロジェクトはそれに依存しています。.
AIプロジェクトはそれに依存しています。.
デジタルトランスフォーメーションのイニシアチブはそれに依存しています。.
Even companies that don’t consider themselves technology businesses are often running software stacks built on open source components.
The challenge is that many organizations don’t actually know how much open source they use until something breaks.
That’s been one of the industry’s recurring problems.
脆弱性の出現。企業は、影響を受けるコンポーネントがシステム内のどこに存在するかを特定するために奔走。調査に数週間。.
このような現実から、サプライチェーンのセキュリティは大きな関心事となっています。.
オープンソースのセキュリティがビジネスの課題に
What’s interesting about Project Lightwell is that it reflects a broader change happening across the industry.
オープンソースのセキュリティは、もはや開発者だけの問題ではありません。.
It’s becoming a business risk.
エグゼクティブは注目しています。.
取締役会は注目しています。.
規制当局も注目しています。.
この話題は、コードの品質だけでなく、運用の回復力にも及んでいます。.
IBMとRed Hatは、AIがその複雑さの一部を管理するのに役立つことに賭けているようです。メンテナに取って代わるのではなく、増え続けるセキュリティ作業の量に追いつくために、圧倒的に多いコミュニティを支援することで。.
プロジェクト・ライトウェルが、両社が思い描くような産業ハブになるかどうかは、まだ未知数です。.
しかし、ひとつだけ明らかになりつつあることがあります。.
ソフトウェアの世界はオープンソースに大きく依存しています。AIブームにより、その依存度はさらに高まっています。そして業界は、長年依存してきた基盤の保護にようやくお金を使い始めています。.
日本語