IBM en Red Hat brengen hun open-source-beveiliger Lightwell vanaf vandaag als betaald product op de markt, meldt IBM, met twee aanbiedingen die kwetsbaarheden in open source geautomatiseerd patchen. Het gaat om Lightwell Network, dat nu algemeen beschikbaar is, en Lightwell Clearinghouse Premier, dat nog in een beperkte fase voor de financiële sector draait.
Voor een bedrijf dat software bouwt of laat bouwen verschuift dit de rekensom rond patchbeheer. Vrijwel elke codebase leunt op open source, tot 90 procent van de bedrijfscode bestaat eruit, en het bijhouden van kwetsbaarheden in al die afhankelijkheden is handwerk dat er vaak bij inschiet. Lightwell Network verkoopt precies dat werk als kant-en-klare, gecertificeerde bouwstenen. De prijs maakt IBM niet bekend, en het blijft een betaalde laag bovenop software die op zichzelf gratis is.
De twee aanbiedingen
Lightwell Network is de breed inzetbare van de twee. Het is een catalogus van meer dan 6.500 geremedieerde, digitaal ondertekende afhankelijkheden voor de Java- en Python-ecosystemen, met broncode en een software bill of materials (SBOM) erbij. Je trekt die gecertificeerde versies rechtstreeks in je bestaande pijplijn, zonder je hele stack te verbouwen. IBM en Red Hat geven bedrijven gecertificeerde fixes die ze zo in hun bestaande systemen trekken, zonder te hoeven omschakelen, zegt Rob Thomas, hoofd software bij IBM.
Lightwell Clearinghouse Premier mikt op iets anders: gecoördineerd patchen onder embargo voor hele sectoren. Bedrijven kunnen een kwetsbaarheid aanmelden en een gerichte fix voor hun productieversie aanvragen binnen een afgeschermd tijdvenster. Dit onderdeel is nog beperkt beschikbaar en begint bij de financiële sector; overheid, zorg en telecom moeten later volgen. IBM noemt geen landenbeperking voor Lightwell Network, dus een Nederlands IT-team kan het in principe inkopen; de zwaardere Clearinghouse-variant blijft voorlopig buiten bereik.
Van belofte naar product
De lancering is de concrete vervolgstap op de 5 miljard dollar die IBM en Red Hat in Project Lightwell staken om open source met AI te patchen. Toen was het een bedrag en een belofte, gericht op grootbanken; nu ligt er een product dat een IT-team daadwerkelijk kan inkopen.
De aanleiding is niet veranderd. AI-modellen vinden kwetsbaarheden in open source sneller dan onderhouders ze kunnen dichten, waardoor de kloof tussen gevonden en gerepareerde lekken groeit. Datzelfde gat probeert het Gentse Aikido te dichten met een overname: het kocht de start-up Root voor 70 miljoen dollar om kwetsbaarheden te patchen in precies de pakketversie die een team al draait, zonder gedwongen upgrade. Lightwell verkoopt eenzelfde belofte, maar met het gewicht en de certificering van IBM erachter.
Wat je ermee opschiet
Voor kleinere bedrijven blijft de directe drempel de prijs en de schaal: de zwaarste variant richt zich op gereguleerde reuzen, en IBM noemt geen tarieven. Toch is Lightwell Network een reëel alternatief geworden voor teams die nu handmatig achter CVE's aanrennen. De keuze wordt scherper: zelf je afhankelijkheden bijhouden, of dat werk uitbesteden aan een leverancier die ondertekende, gecertificeerde versies levert.
Die keuze heeft een keerzijde. Elke betaalde beveiligingslaag bovenop open source vergroot je afhankelijkheid van één leverancier voor iets wat vroeger vrij en zelf te beheren was. Lightwell maakt patchen makkelijker, maar het maakt je software niet vanzelf minder afhankelijk van de partij die de fixes levert.
Wat vandaag als product op de markt komt, tekent een bredere verschuiving: de beveiliging van de open-source-toeleveringsketen wordt een betaalde, gecertificeerde dienst in plaats van gemeenschapswerk. Voor wie software draait, en dat is bijna iedereen, wordt de vraag niet óf je je afhankelijkheden op orde houdt, maar wie je daarvoor betaalt.
Veelgestelde vragen
Grip op je eigen stack
Open source zit onder vrijwel elke applicatie die je draait. Ik help je die afhankelijkheden in kaart brengen en je software zo bouwen en koppelen dat je zelf de controle houdt, van ontwerp tot beheer, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
