Miljoner använder den – men vem vaktar koden som bär upp internet?

När ryggraden behöver ett skelett

De flesta som använder en smartphone, bokar en flygresa eller loggar in på sin bank har ingen aning om att deras upplevelse vilar på miljontals rader kod skriven av anonyma utvecklare världen över – utan betalning, utan garanti, utan formellt ansvar. Det är öppen källkod i sin mest grundläggande form: ett kollektivt, globalt byggprojekt som ingen äger men alla utnyttjar.

Den modellen har fungerat förvånansvärt bra. Men den har en akilleshäl: säkerhet. Och det är precis den sårbarheten som IBM och Red Hat nu riktar en massiv insats mot.

Enligt SecurityWeek lanserar de två teknikjättarna Project Lightwell – ett initiativ som kombinerar en investering på fem miljarder dollar med en ingenjörsstyrka på mer än 20 000 personer. Målet är att systematiskt identifiera, prioritera och åtgärda säkerhetshål i öppen källkod, med fokus på den programvarukedja som företag världen över förlitar sig på dagligen.

Varför just nu?

Frågan är berättigad. Öppen källkod är inte nytt, och säkerhetsproblemen är inte heller det. Men ett antal händelser under de senaste åren har visat hur katastrofalt det kan gå när kedjan brister.

Log4Shell-sårbarheten 2021 – ett kritiskt hål i det oerhört välspridda Java-biblioteket Log4j – sände chockvågor genom hela teknikvärlden. Miljontals system visade sig sårbara, och det tog månader att fullt ut förstå skadeomfånget. XZ Utils-bakdörren 2024 var ännu mer obehaglig: en noggrann, långsiktig attack mot ett litet men centralt programvaruprojekt som nästan lyckades smyga in skadlig kod i otaliga Linux-distributioner.

Gemensamt för dessa incidenter är att de riktade sig mot just den punkt där öppna källkodsprojekt är som svagast: underhållet. Projekt som bär upp kritisk infrastruktur drivs inte sällan av en handfull dedikerade individer med begränsad tid och ännu mer begränsade resurser.

IBM är väl medvetna om beroendet. Företaget uppger själva att de använder mer än 62 000 paket med öppen källkod i sin egen verksamhet. Det är inte en abstrakt fråga om ansvar – det är en direkt affärsrisk.

Så fungerar Project Lightwell

Kärnan i initiativet är ett så kallat företagsnav som använder artificiell intelligens för att i stor skala scanna, sortera och verifiera säkerhetshål i öppen källkod. Det handlar inte bara om att hitta problem – AI-systemen ska också hjälpa till att generera och validera programfixar.

Ingenjörerna kommer att arbeta aktivt med underhåll i samarbete med ledande aktörer i öppen källkods-gemenskapen, genomföra AI-stödda säkerhetsgranskningar i hög volym och se till att validerade lösningar når ut till företagskunder via kommersiella programvaruabonnemang.

Initiativet bygger vidare på IBMs och Red Hats befintliga ekosystem – plattformar som Linux, Java, Kubernetes och Kafka – vilket ger projektet en gedigen teknisk grund att stå på från dag ett.

Det är en smart konstruktion: IBM finansierar och industrialiserar säkerhetsarbetet, medan resultaten flödar tillbaka till den öppna gemenskapen och samtidigt paketeras som betalda tjänster för företagskunder. Modellen försöker lösa den klassiska spänningen i öppen källkod – att de som tjänar mest på koden sällan bidrar mest till att underhålla den.

En ny branschmodell?

Det intressanta med Project Lightwell är inte bara skalan, utan ambitionen att definiera ett nytt sätt att organisera säkerhetsarbetet kring öppen källkod. Tidigare insatser har ofta varit reaktiva – man lappar hål när de hittas. Det här initiativet siktar på att vara proaktivt och systematiskt.

Om det lyckas kan det bli ett viktigt prejudikat för hur teknikbranschen som helhet bör förhålla sig till sin beroende ställning gentemot öppen källkod. Det räcker inte längre att bara använda – man måste också ta ansvar för att infrastrukturen håller.