Sécurité de l'open source : IBM et Red Hat débloquent 5 milliards de dollars pour le projet Lightwell

IBM et sa filiale Red Hat ont dévoilé une initiative de grande ampleur destinée à renforcer la sécurité des logiciels open source. Baptisé Lightwell, ce projet bénéficie d’un financement de 5 milliards de dollars et mobilisera plus de 20 000 ingénieurs. L’intelligence artificielle sera mise à contribution pour détecter et corriger les vulnérabilités à une échelle industrielle.

Cette annonce intervient dans un contexte où la sécurité de l’open source est jugée précaire par de nombreux experts. L’intelligence artificielle, en accélérant la production de code, a également multiplié les signalements de vulnérabilités, submergeant les équipes de maintenance. Daniel Steinberg, mainteneur du logiciel de transfert de données cURL, illustre cette tendance : « Le nombre de rapports de sécurité reçus est quatre à cinq fois plus élevé qu’en 2024 et a doublé par rapport à 2025. » Il a confié ressentir une pression croissante : « Je travaille plus qu’auparavant, mais le flot ne cesse de s’abattre. » Face à cette situation, Steinberg a appelé les entreprises à accroître leur soutien financier pour embaucher davantage de développeurs et répartir la charge.

Le projet Lightwell se présente comme une réponse à cette crise. IBM et Red Hat entendent fournir un service par abonnement qui permettra aux entreprises de sécuriser leurs chaînes logicielles open source. Les outils d’IA avancés, combinés à l’expertise de milliers d’ingénieurs, analyseront les dépendances logicielles et corrigeront les failles avant qu’elles ne soient exploitées. L’objectif est d’offrir une visibilité en temps réel sur les risques de sécurité des bibliothèques open source utilisées. Le fonctionnement précis de ce service par abonnement n’a pas encore été détaillé.

L’investissement massif soulève des interrogations sur son financement et son modèle économique. Avec un budget comparable à celui de certains programmes gouvernementaux, cette initiative pourrait redéfinir les standards de sécurité du secteur. Cependant, certains observateurs s’interrogent sur la viabilité d’une solution exclusive dans un environnement historiquement collaboratif. Les deux sociétés misent sur une approche centralisée pour résoudre un problème qui touche l’ensemble de l’écosystème numérique, mais une collaboration élargie pourrait s’avérer nécessaire.

En conclusion, Lightwell représente l’un des plus importants engagements jamais pris pour la sécurité de l’open source. Son succès dépendra de sa capacité à fédérer la communauté des développeurs et à s’adapter aux évolutions rapides des menaces. La pression exercée sur les mainteneurs bénévoles, illustrée par le cas de cURL, souligne l’urgence d’une action coordonnée.