Een cijferslot ligt op een computertoetsenbord
Nieuws8 juli · 16:254 min leestijd

IBM en Red Hat lanceren Lightwell commercieel voor geautomatiseerd open-source-patchen

IBM en Red Hat brengen Lightwell als betaald product op de markt: twee aanbiedingen die kwetsbaarheden in open source geautomatiseerd patchen. Wat dat betekent voor je patchbeheer en je leveranciersrisico.

IBM en Red Hat brengen hun open-source-beveiliger Lightwell vanaf vandaag als betaald product op de markt, meldt IBM, met twee aanbiedingen die kwetsbaarheden in open source geautomatiseerd patchen. Het gaat om Lightwell Network, dat nu algemeen beschikbaar is, en Lightwell Clearinghouse Premier, dat nog in een beperkte fase voor de financiële sector draait.

Voor een bedrijf dat software bouwt of laat bouwen verschuift dit de rekensom rond patchbeheer. Vrijwel elke codebase leunt op open source, tot 90 procent van de bedrijfscode bestaat eruit, en het bijhouden van kwetsbaarheden in al die afhankelijkheden is handwerk dat er vaak bij inschiet. Lightwell Network verkoopt precies dat werk als kant-en-klare, gecertificeerde bouwstenen. De prijs maakt IBM niet bekend, en het blijft een betaalde laag bovenop software die op zichzelf gratis is.

De twee aanbiedingen

Lightwell Network is de breed inzetbare van de twee. Het is een catalogus van meer dan 6.500 geremedieerde, digitaal ondertekende afhankelijkheden voor de Java- en Python-ecosystemen, met broncode en een software bill of materials (SBOM) erbij. Je trekt die gecertificeerde versies rechtstreeks in je bestaande pijplijn, zonder je hele stack te verbouwen. IBM en Red Hat geven bedrijven gecertificeerde fixes die ze zo in hun bestaande systemen trekken, zonder te hoeven omschakelen, zegt Rob Thomas, hoofd software bij IBM.

Lightwell Clearinghouse Premier mikt op iets anders: gecoördineerd patchen onder embargo voor hele sectoren. Bedrijven kunnen een kwetsbaarheid aanmelden en een gerichte fix voor hun productieversie aanvragen binnen een afgeschermd tijdvenster. Dit onderdeel is nog beperkt beschikbaar en begint bij de financiële sector; overheid, zorg en telecom moeten later volgen. IBM noemt geen landenbeperking voor Lightwell Network, dus een Nederlands IT-team kan het in principe inkopen; de zwaardere Clearinghouse-variant blijft voorlopig buiten bereik.

Van belofte naar product

De lancering is de concrete vervolgstap op de 5 miljard dollar die IBM en Red Hat in Project Lightwell staken om open source met AI te patchen. Toen was het een bedrag en een belofte, gericht op grootbanken; nu ligt er een product dat een IT-team daadwerkelijk kan inkopen.

De aanleiding is niet veranderd. AI-modellen vinden kwetsbaarheden in open source sneller dan onderhouders ze kunnen dichten, waardoor de kloof tussen gevonden en gerepareerde lekken groeit. Datzelfde gat probeert het Gentse Aikido te dichten met een overname: het kocht de start-up Root voor 70 miljoen dollar om kwetsbaarheden te patchen in precies de pakketversie die een team al draait, zonder gedwongen upgrade. Lightwell verkoopt eenzelfde belofte, maar met het gewicht en de certificering van IBM erachter.

Wat je ermee opschiet

Voor kleinere bedrijven blijft de directe drempel de prijs en de schaal: de zwaarste variant richt zich op gereguleerde reuzen, en IBM noemt geen tarieven. Toch is Lightwell Network een reëel alternatief geworden voor teams die nu handmatig achter CVE's aanrennen. De keuze wordt scherper: zelf je afhankelijkheden bijhouden, of dat werk uitbesteden aan een leverancier die ondertekende, gecertificeerde versies levert.

Die keuze heeft een keerzijde. Elke betaalde beveiligingslaag bovenop open source vergroot je afhankelijkheid van één leverancier voor iets wat vroeger vrij en zelf te beheren was. Lightwell maakt patchen makkelijker, maar het maakt je software niet vanzelf minder afhankelijk van de partij die de fixes levert.

Wat vandaag als product op de markt komt, tekent een bredere verschuiving: de beveiliging van de open-source-toeleveringsketen wordt een betaalde, gecertificeerde dienst in plaats van gemeenschapswerk. Voor wie software draait, en dat is bijna iedereen, wordt de vraag niet óf je je afhankelijkheden op orde houdt, maar wie je daarvoor betaalt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je eigen stack

Open source zit onder vrijwel elke applicatie die je draait. Ik help je die afhankelijkheden in kaart brengen en je software zo bouwen en koppelen dat je zelf de controle houdt, van ontwerp tot beheer, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

IBM en Red Hat steken 5 miljard dollar in Project Lightwell om open source met AI te patchen
Nieuws
6 min

2 jul 20:11

IBM en Red Hat steken 5 miljard dollar in Project Lightwell om open source met AI te patchen

IBM en Red Hat trekken samen 5 miljard dollar uit voor Project Lightwell, een dienst die open-source-kwetsbaarheden patcht nu AI ze sneller vindt dan onderhouders ze kunnen dichten. Wat dat betekent voor jouw software.

OpenAI breidt Daybreak uit: AI die kwetsbaarheden vindt, valideert en patcht
Nieuws
5 min

22 jun 20:11

OpenAI breidt Daybreak uit: AI die kwetsbaarheden vindt, valideert en patcht

OpenAI rolt nieuwe Daybreak-tools uit: Codex Security en GPT-5.5-Cyber scannen code op lekken en schrijven direct patches. Plus een open-source-initiatief en een partnerprogramma met grote securitybedrijven.

AI-jacht op bugs bezorgt securityteams een patchgolf: 1.500 zware CVE's in juni
Nieuws
5 min

4 jul 04:39

AI-jacht op bugs bezorgt securityteams een patchgolf: 1.500 zware CVE's in juni

Onderzoeksbureau Epoch AI telde in juni 2026 zo'n 1.500 hoog- en kritieke kwetsbaarheden van 21 grote organisaties, ruim 3,5 keer het oude maandrecord. AI vindt bugs nu op schaal, en dat verandert hoe securityteams hun patchcapaciteit moeten inrichten.

IBM breidt codeeragent Bob uit met sub-agents en modernisatiepakketten voor mainframe, IBM i en Java
Nieuws
5 min

10 jul 00:09

IBM breidt codeeragent Bob uit met sub-agents en modernisatiepakketten voor mainframe, IBM i en Java

IBM breidt codeeragent Bob uit met sub-agents en drie moderniseringspakketten voor IBM Z, IBM i en Java. Voor grotere organisaties met verouderde kernsystemen komt AI-modernisatie van mainframe- en RPG-code zo dichterbij, met kostenrapportage per team.

Aikido koopt Root voor 70 miljoen dollar om kwetsbaarheden automatisch te patchen
Nieuws
4 min

1 jul 00:19

Aikido koopt Root voor 70 miljoen dollar om kwetsbaarheden automatisch te patchen

Het Gentse beveiligingsbedrijf Aikido neemt de Amerikaanse start-up Root over voor 70 miljoen dollar en kan kwetsbaarheden zo patchen in de versie die je al draait, zonder gedwongen upgrade.

Wat is RAG? Antwoorden uit je eigen documenten
Uitgelegd
7 min

10 jul 12:06

Wat is RAG? Antwoorden uit je eigen documenten

Je hoeft geen model te hertrainen om een AI je documenten te laten kennen. RAG zoekt bij je vraag de juiste stukken op en geeft ze mee. Zie hoe grounding werkt, en waar het alsnog misgaat.