Bijna elk bedrijf draait op open-source software, meestal zonder het te merken: het zit verstopt in de bibliotheken en afhankelijkheden onder je webshop, je boekhoudpakket en je automatiseringen. Precies op dat fundament leggen IBM en Red Hat nu een recordbedrag neer. De twee bedrijven trekken samen 5 miljard dollar uit voor Project Lightwell, een nieuwe abonnementsdienst die kwetsbaarheden in open source moet dichten voordat aanvallers ze misbruiken. Het is het grootste bekende bedrag dat ooit specifiek naar de beveiliging van de open-source-toeleveringsketen gaat, alleen overtroffen door de bredere cyberbelofte van 10 miljard dollar die Google in 2021 deed.
AI vindt lekken sneller dan mensen ze kunnen dichten
De aanleiding is concreet. Sinds AI-modellen code kunnen lezen en door afhankelijkheden heen kunnen redeneren, worden kwetsbaarheden in open source op machinesnelheid gevonden, veel sneller dan onderhouders ze kunnen repareren. IBM wijst expliciet naar Anthropics beveiligingsmodel Mythos als de trigger. In het gecoordineerde verdedigingsprogramma Project Glasswing, dat Anthropic in april startte en dat inmiddels naar 150 organisaties is gegroeid, spoorde het model in de eerste maand meer dan 10.000 kwetsbaarheden op, waarvan 6.202 met een hoge of kritieke score in ruim 1.000 open-source-projecten. Daarvan werden er 530 formeel bij de onderhouders gemeld, maar slechts 75 kregen daadwerkelijk een patch. Dat gat, tussen wat AI vindt en wat mensen dichten, is precies het probleem dat Lightwell als dienst wil verkopen.
Gunnar Hellekson, VP en general manager van Red Hat Enterprise Linux, vat het scherp samen. Het aantal CVE's groeide al onhoudbaar, zegt hij, en het Mythos-moment maakte iedereen wakker voor het idee dat je AI-tools op je eigen code moet loslaten, waardoor lekken nu veel sneller opduiken dan ze verholpen kunnen worden.
Wat Lightwell precies doet
Lightwell pakt dat gat op een specifieke manier aan. In plaats van bedrijven te dwingen hun software te upgraden, identificeert de dienst de kwetsbaarheid in precies de versie die een klant in productie draait, bouwt daar een backported fix voor en levert een ondertekende, gevalideerde patch met contractuele service-afspraken. Voor zwaar gereguleerde sectoren, waar het wijzigen van een afhankelijkheid maanden aan compliance-controles kan uitlokken, is dat het echte verkoopargument. IBM zegt actief betrokken te zijn bij ruim 61.700 open-source-pakketten, met diepgaande kennis van meer dan 10.600 daarvan, waaronder Linux, Java, Kubernetes, Kafka, Ansible en Terraform.

Om dit te bouwen zetten IBM en Red Hat 20.000 engineers in voor de 5 miljard dollar kostende dienst, ondersteund door twee eigen tools: IBM Bob, een agentisch AI-platform voor de hele softwarelevenscyclus, en Concert Secure Coder, dat kwetsbaarheden in realtime opspoort terwijl ontwikkelaars code schrijven. Consultant Deloitte sloot zich eind juni aan om klanten te helpen hun open-source-componenten in kaart te brengen, continu een software bill of materials (SBOM) bij te houden, en de installatie en validatie van de patches te beheren, inclusief meldingen aan toezichthouders bij een lek. IBM lanceert de dienst met elf ontwerppartners die vrijwel allemaal grootbanken zijn: Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa en Wells Fargo.
Lightwell is opgezet om de groeiende uitdaging van het beveiligen van open source in een door AI gedreven dreigingslandschap aan te pakken, aldus Savio Rodrigues, IBM's VP service partners, bij de aankondiging van de samenwerking met Deloitte.
Niet iedereen is overtuigd
Toch klinkt er stevige kritiek. Dan Lorenc, medeoprichter en CEO van beveiligingsbedrijf Chainguard, spotte op LinkedIn openlijk met IBM's bedrag en legersterkte: hij suggereerde dat Chainguard hetzelfde probleem kan aanpakken met 50.000 dollar en 100 engineers, al voegde hij toe dat het goed is dat IBM 'ook iets doet'. Lorenc leidt zelf Athena, de coalitie waarmee Chainguard AI inzet om open-source-lekken te vinden en te dichten voordat aanvallers dat doen, die naar eigen zeggen al ruim 20.000 bevindingen en 2.000 patches over 500 projecten verwerkte. Ook analisten plaatsen kanttekeningen. Volgens onderzoeksbureau IDC is Lightwell een laatkomer in een markt die al jaren bestaat, met voorlopers als Tidelift (in 2024 overgenomen door Sonar) en concurrenten als Seal Security, Endor Labs en Chainguard zelf. Opvallend is verder dat IBM met geen woord rept over watsonx, zijn eigen AI-platform, wat de vraag oproept welke frontier-modellen de dienst onder de motorkap gebruikt.
En er zijn structurele grenzen. Zolang een fix niet is samengevoegd in de hoofdtak die de meeste ontwikkelaars binnenhalen, blijven al die gebruikers kwetsbaar. Een recent lek in het veelgebruikte Axios-pakket werd in de 154 dagen tussen de bevestigde fix en de publieke onthulling nog 2,2 miljard keer gedownload. Daar komt bij dat naar schatting honderdduizenden kleine kwetsbaarheden per jaar stil worden gedicht zonder ooit een officieel CVE-nummer te krijgen, terwijl AI-modellen juist die onzichtbare fixes aan elkaar kunnen rijgen tot nieuwe aanvallen.
Wat betekent dit voor jouw bedrijf
Voor de meeste Nederlandse bedrijven is Lightwell zelf niet te koop: de dienst mikt op grootbanken en zwaar gereguleerde reuzen. Toch is de winst breder. Red Hat zegt dat elke patch die het ontwikkelt tegelijk naar de open-source-gemeenschap en naar Lightwell-klanten gaat, dus iedereen die diezelfde bibliotheken gebruikt profiteert zodra hij een update binnenhaalt.
De belangrijkste les zit in het onderliggende probleem. Als een techreus 5 miljard dollar nodig acht om open source patchbaar te houden, dan is het beheer van je eigen afhankelijkheden geen bijzaak meer. Weten welke open-source-componenten er onder je software en automatiseringen draaien, een actuele inventaris (SBOM) bijhouden en patches gedisciplineerd doorvoeren, is voor een MKB-bedrijf de praktische versie van wat de grootbanken nu uitbesteden. Dezelfde AI-versnelde dreiging was eerder de reden dat de Linux Foundation met negentien grote bedrijven, waaronder IBM zelf, de coalitie Akrites optuigde om kritieke open source te verdedigen.
De onderliggende verschuiving is groter dan een enkele dienst. Het dichten van open-source-lekken wordt een betaalde laag, met eersteklas bescherming voor wie het kan betalen en een langere blootstelling voor de rest van de keten. Wie nu weet wat er in zijn software zit, staat straks aan de goede kant van dat gat.
Veelgestelde vragen
Grip op je open source
Weten welke open-source-componenten onder je software draaien en die veilig en up-to-date houden, is precies waar ik bij help. Ik denk mee, ontwerp en bouw end-to-end, en automatiseer je updates en checks, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
