we are developers

iMaster Developers

iMaster DevelopersPowered by:

Notícias

29 mai, 2026

IBM aposta US$ 5 bilhões em segurança open source

Redação iMasters

Redação iMasters
Publicidade

A IBM acaba de colocar US$ 5 bilhões na mesa. O destino desse dinheiro é o Projeto Lightwell. Trata-se de uma iniciativa conjunta com a Red Hat. O foco, por sua vez, é a segurança do software de código aberto. Para quem desenvolve, isso importa bastante. Afinal, quase tudo que rodamos hoje depende de bibliotecas open source.

Neste artigo, vamos destrinchar o anúncio sob a ótica de quem coda. Em seguida, veremos como as correções devem chegar ao seu pipeline. Por fim, discutiremos o impacto real no dia a dia.

IBM: O que é o Projeto Lightwell (e por que não é só mais um scanner)

Primeiramente, esqueça a ideia de mais uma ferramenta de varredura. O Lightwell vai além disso. A proposta combina pessoas e automação em larga escala. Segundo a IBM, mais de 20 mil engenheiros participarão da iniciativa. Além deles, ferramentas de IA entram em cena para achar e corrigir vulnerabilidades.

A ideia central, contudo, é simples. O serviço atesta se um pacote open source é seguro para produção. Rob Thomas, vice-presidente sênior de software da IBM, chamou isso de “selo de aprovação”. Ou seja, a empresa quer funcionar como uma central de confiança para dependências.

O lançamento comercial, aliás, deve ocorrer em cerca de 30 dias. O modelo de cobrança, por sua vez, será por assinatura. Assim, o preço dependerá do número de pacotes que a sua empresa utiliza.

20 mil engenheiros e IA: como a correção chega até você

Aqui está a parte que interessa ao desenvolvedor. A IA não apenas encontra falhas. Ela também prioriza o que realmente importa. Dessa forma, o ruído diminui e o foco aumenta.

Os engenheiros, então, assumem o trabalho pesado. Primeiro, eles cuidam da manutenção upstream. Além disso, desenvolvem patches e tocam a engenharia de lançamento. Portanto, a correção não fica só no relatório. Em vez disso, ela vira código aplicável.

Do pom.xml ao patch: a engenharia por trás da entrega (IBM e Red Hat)

Esse é um detalhe técnico saboroso. O Lightwell consegue ler manifestos de dependência. O pom.xml, por exemplo, serve como ponto de partida. A partir dele, o serviço identifica os componentes afetados.

Em seguida, os artefatos corrigidos seguem para repositórios da própria empresa. O mais interessante, porém, vem agora. Não é preciso dar acesso ao código-fonte da sua aplicação. Logo, a privacidade do seu projeto permanece intacta.

Há ainda outro ponto valioso. O serviço aplica correções em versões já testadas em produção. Em outras palavras, você não é obrigado a migrar para a release mais nova. Isso, convenhamos, evita muita dor de cabeça com breaking changes.

Vale lembrar do conceito de SBOM. A CISA o define como um registro formal dos componentes de um software. Dependências transitivas, por sua vez, são pacotes trazidos por outros pacotes. Um estudo de 2026 mostrou um problema comum. Dependências ocultas e variantes geram relatórios inconsistentes entre scanners. Por isso, validar a fundo faz toda a diferença.

Bancos como cobaias: quem já testou na prática

A lista de pilotos chama atenção. Bank of America, JPMorgan Chase e Visa participaram dos testes. Além deles, entraram nomes como BNY, Citi e Goldman Sachs. Mastercard e Morgan Stanley também aparecem. Por fim, Royal Bank of Canada, State Street e Wells Fargo completam o grupo.

Não é coincidência que sejam instituições financeiras. Esse setor lida com regulação pesada e risco altíssimo. Portanto, ele costuma testar primeiro o que depois vira padrão de mercado.

Glasswing, Mythos e os números que assustam

A IBM citou um trabalho recente da Anthropic. O Projeto Glasswing usou o modelo Mythos Preview. Com ele, foram identificadas quase 3.900 vulnerabilidades de alta ou crítica gravidade. Todas em software de código aberto.

Os números seguintes merecem atenção. A Anthropic avaliou 1.752 dessas descobertas. Dentre elas, 90,6% eram verdadeiros positivos válidos. Já 62,4% foram confirmadas como de alta ou crítica gravidade. Em resumo, a IA acerta bastante, mas a revisão humana ainda importa.

Para dimensionar o problema, a IBM trouxe outro dado. Mais de 90% das empresas da Fortune 500 dependem de open source. A própria IBM usa mais de 62 mil pacotes. Aliás, as vulnerabilidades divulgadas podem chegar a 59 mil até 2026.

IBM e Red Hat: O que isso significa para o seu dia a dia como dev

Vamos ao que importa de verdade. A segurança da cadeia de suprimentos saiu do nicho. Agora, ela é prioridade de orçamento bilionário. Consequentemente, a pressão sobre quem mantém dependências só cresce.

Algumas atitudes, porém, já podem entrar na sua rotina:

  • Primeiro, mantenha um SBOM atualizado do seu projeto.
  • Além disso, monitore dependências transitivas, não só as diretas.
  • Em seguida, aplique patches em versões estáveis antes de migrar tudo.
  • Por fim, trate alertas de IA como ponto de partida, não como verdade absoluta.

Por enquanto, o Lightwell mira o mundo corporativo. Ainda assim, a tendência é clara. O “selo de aprovação” para pacotes deve virar conversa comum. E você, mais cedo ou mais tarde, vai esbarrar nisso.

Acompanhe nosso perfil no Instagram!

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters e no Instagram/Threads @portalimasters