兩條路線，同一個目標：開源軟體安全該由企業買單，還是社群自治？

開源軟體已是現代企業的根基，幾乎所有的大型系統都建構其上，但如何確保這條龐大又複雜的軟體供應鏈安全，始終是一大難題。2026年，兩個重量級計畫相繼問世，試圖從截然不同的角度解決這個問題。IBM與Red Hat豪擲50億美元，推出AI驅動的「信任結算所」Project Lightwell；同一時間，由多家科技巨頭組成的聯盟則向Linux基金會注資1250萬美元，試圖從源頭鞏固安全。兩者目標一致，但策略的差異，恰恰反映了業界對於如何資助、擴展及信賴開源安全修復機制的深層路線分歧。

Project Lightwell在做什麼？

Project Lightwell於2026年5月28日正式宣布，它的核心目標是在開源程式碼與仰賴它營運的企業之間，創造一個全新的安全協調層。IBM與Red Hat承諾投入超過2萬名工程師，並輔以前瞻的AI技術，來扮演「受信賴的企業結算所」的角色。

它的運作流程設計得相當直接且貼近企業需求：當一家公司在內部使用的開源軟體套件中發現了敏感漏洞，便可以透過保密管道將問題回報給這個結算所。接著，IBM和Red Hat會接手，利用AI來辨識、測試並驗證修復方案，最終的產出是一個經過驗證、可立即用於正式環境的修補程式（patch）。這項服務的商業模式是透過訂閱制來提供，訂價很可能根據客戶使用的軟體套件數量來計算，目標是為這些軟體套件掛上「安全認證」，確保它們的開源相依套件是安全的。

這個計畫並非閉門造車。試點計畫的參與者堪稱金融服務業的明星陣容，包括：美國銀行（Bank of America）、紐約梅隆銀行（BNY）、花旗（Citi）、高盛（Goldman Sachs）、摩根大通（JPMorganChase）、萬事達卡（Mastercard）、摩根士丹利（Morgan Stanley）、加拿大皇家銀行（Royal Bank of Canada）、道富銀行（State Street）、Visa和富國銀行（Wells Fargo）。這些監管嚴格、極度規避風險的機構率先買單，顯示Project Lightwell是直接回應企業對於開源軟體在正式環境中，需要經過驗證的安全保證的強烈需求。