IBM e Red Hat hanno reso disponibile Lightwell, una piattaforma che porta la correzione automatizzata delle vulnerabilità su larga scala attraverso due nuove soluzioni: Lightwell Network e Lightwell Clearinghouse Premier.
Lightwell Network, già disponibile, mette a disposizione delle aziende un catalogo iniziale di oltre 6.500 dipendenze software a livello applicativo corrette, firmate digitalmente e certificate, distribuite nei principali ecosistemi, tra cui Java e Python.
Lightwell Clearinghouse Premier, attualmente in disponibilità limitata, si configura come intermediario affidabile per la gestione sicura delle patch soggette a embargo e per il coordinamento settoriale delle minacce.
Le soluzioni si inseriscono nel quadro dell’impegno da 5 miliardi di dollari che IBM e Red Hat hanno annunciato a maggio 2026 a supporto della sicurezza dell’open source che, attraverso un team globale di oltre 20.000 ingegneri, supervisiona e scala le avanzate capacità di remediation di Lightwell basate sull’intelligenza artificiale.
Il progetto – che nasce da un modello costruito su decenni di affidabilità che ha visto Red Hat proteggere sistemi critici per migliaia di clienti, con milioni di download dei propri prodotti core e un numero incalcolabile di patch, correzioni e contributi alla community – riflette anche la forte collaborazione avviata con i partner del settore finanziario, che vedono in Lightwell una risposta concreta a una criticità condivisa e riconoscono in Red Hat e IBM gli attori più adatti a offrire la competenza open source e la scalabilità necessarie. Con Lightwell, questa protezione enterprise consolidata viene ora estesa all’intero patrimonio software open source delle organizzazioni.
Per realizzare questa infrastruttura, Lightwell si basa su un motore di remediation ad alta capacità già operativo su larga scala, potenziato dall’AI generativa. Questa pipeline avanzata combina modelli AI open e di frontiera con competenze ingegneristiche umane per individuare, validare e correggere le vulnerabilità nelle dipendenze critiche delle moderne architetture software.
Lightwell riduce la distanza tra la velocità dell’innovazione e i requisiti di conformità delle imprese, proteggendo i pacchetti software effettivamente utilizzati in produzione e costruendo al tempo stesso una base stabile per le applicazioni di domani. Per superare lo stallo nella gestione delle dipendenze, la piattaforma usa l’automazione per applicare le correzioni critiche direttamente alle versioni software specifiche già in uso, evitando ai team di dover ricorrere a complessi upgrade upstream che spesso comportano lunghi cicli di regression test e modifiche incompatibili. Grazie al proprio motore AI, Red Hat e IBM prevedono che il catalogo di pacchetti corretti da Lightwell possa crescere rapidamente da migliaia a milioni.
“Lightwell rappresenta un cambiamento strutturale profondo nel modo in cui proteggiamo il software enterprise”, ha dichiarato Matt Hicks, President e CEO di Red Hat. “Combinando remediation automatizzata e la nostra profonda esperienza ingegneristica, vogliamo offrire l’infrastruttura di fiducia necessaria per adottare l’open source in modo affidabile, sostenibile e compatibile con i tempi dell’AI.”
“IBM e Red Hat mettono a disposizione delle aziende correzioni certificate che possono essere integrate direttamente nei sistemi già in uso, senza dover ripensare strumenti o processi e senza interrompere le attività, il tutto con il supporto di una rete in crescita di partner tecnologici e di delivery”, ha dichiarato Rob Thomas, Senior Vice President, Software & Chief Commercial Officer di IBM. “Per rendere possibile tutto questo serve una capacità organizzativa che poche realtà possono sostenere: un team di ingegneri di livello mondiale e sistemi AI al lavoro ininterrottamente per proteggere il software open source su cui si basa l’operatività delle imprese di tutto il mondo.”
IBM e Red Hat porteranno queste capacità sul mercato attraverso due offerte:
Lightwell Network
Già disponibile, Lightwell Network offre accesso immediato a una libreria attiva e in continua espansione, che copre sia componenti recenti sia librerie legacy, con remediation ad alto valore. Gli aderenti ricevono un flusso continuo di binari firmati digitalmente, codice sorgente e documentazione di conformità completa, inclusi gli SBOM (Software Bill of Materials), integrabili direttamente nelle pipeline esistenti senza alterare il codice in uso.
Lightwell Clearinghouse Premier
Attualmente in una fase iniziale di onboarding commerciale, Lightwell Clearinghouse Premier è pensato come punto di riferimento per una collaborazione più profonda tra attori di settore, un coordinamento avanzato delle minacce verticali e la gestione riservata delle patch in embargo. Le organizzazioni partecipanti potranno segnalare vulnerabilità e richiedere remediation mirate per versioni specifiche all’interno di finestre di embargo controllate. Nella fase iniziale la piattaforma sarà destinata al solo settore dei servizi finanziari, ma Red Hat e IBM prevedono di estenderla in seguito anche ad altri comparti di infrastrutture critiche, tra cui pubblica amministrazione, sanità e telecomunicazioni. Considerata la complessità dei requisiti legali, geografici e di disclosure necessari per operare clearinghouse settoriali di questo tipo, l’accesso commerciale resterà inizialmente riservato alle organizzazioni qualificate.
“I settori più regolamentati, come quello dei servizi finanziari, affrontano costi di compliance più elevati e per questo attribuiscono alla sicurezza un’importanza assoluta, in particolare nell’utilizzo del software open source”, ha dichiarato Jerry Silva, Program Vice President for IDC Financial Insights. “La collaborazione tra Red Hat e IBM sotto il marchio Lightwell, finalizzata a identificare, classificare e correggere le vulnerabilità, contribuirà a rafforzare la sicurezza e la resilienza di queste organizzazioni a livello globale, consolidando quella fiducia che è alla base dei servizi che offrono.”
Lightwell si basa inoltre sul collaudato modello upstream-always di Red Hat, secondo cui le correzioni di sicurezza vengono restituite attivamente alla community open source di origine per revisione e adozione. In questo modo, le esigenze di protezione commerciale e la salute dell’ecosistema open source si rafforzano a vicenda, evitando frammentazioni dei progetti e senza esporre gli ambienti di produzione a rischi zero-day.
Con l’open source che rappresenta fino al 90% delle codebase enterprise e con 9,8 trilioni di download nel solo 2025, il volume crescente delle dipendenze e la disponibilità di exploit generati dall’AI a costi minimi stanno mettendo in crisi gli approcci tradizionali al patch management, lasciando le codebase con una media di 581 vulnerabilità. Lightwell nasce proprio per ridurre questo rischio sommerso e rimuovere i colli di bottiglia operativi, valutando il contesto applicativo e le interazioni tra dipendenze per fornire fix validati direttamente nei flussi di lavoro attivi.
Proteggere la software supply chain open source richiede un ecosistema aperto e diversificato che comprenda modelli AI, strumenti di sviluppo e infrastrutture enterprise. Lightwell si appoggia a una rete robusta e in continua crescita di partner tecnologici e di deployment. Attraverso la collaborazione con questi attori, la piattaforma abilita una difesa realmente coordinata, permettendo l’aggiornamento simultaneo di regole di rete, ambienti cloud e pipeline di deployment in tutta l’infrastruttura aziendale nel momento stesso in cui una correzione è disponibile.
Partner tecnologici
Tra i player che collaborano con IBM e Red Hat su Lightwell figurano Amazon Web Services (AWS), AMD, F5, GitLab, Intel, JFrog, Microsoft, NVIDIA, Palo Alto Networks e ServiceNow. Questo ecosistema in crescita consente di estendere le correzioni di sicurezza di Lightwell a contesti tecnologici molto diversi, proteggendo senza interruzioni strumenti, applicazioni e servizi già in uso.
Servizi di deployment e consulenza strategica
Per accelerare l’adozione, i clienti possono inoltre contare su servizi di system integration e deployment strategico offerti da IBM Consulting, Red Hat Consulting, Accenture, Atos, Cognizant, Deloitte, i team EY cyber and risk consulting, HCLTech, Infosys, Kyndryl, LTM, NTT DATA, Tata Consultancy Services (TCS) e Tech Mahindra. Queste realtà supportano le aziende nella mappatura degli SBOM, nella gestione del version mapping, nell’integrazione dei registry Lightwell e nella valutazione delle pipeline, così da prepararsi in modo più efficace a vulnerabilità che si muovono alla velocità dell’AI.


