La sicurezza della supply chain software diventa un fronte sempre più critico per le grandi imprese, soprattutto in un contesto in cui le minacce cyber sono sempre più automatizzate e accelerate dall’uso dei modelli di intelligenza artificiale. Deloitte, IBM e Red Hat hanno annunciato una collaborazione pensata per aiutare le organizzazioni a proteggere applicazioni aziendali, componenti open source e software di terze parti, riducendo il divario tra scoperta delle vulnerabilità, validazione delle patch e remediation effettiva negli ambienti di produzione.
Al centro dell’iniziativa c’è Lightwell, modello sviluppato da IBM e Red Hat per affrontare la sicurezza del software open source in scenari enterprise complessi. Deloitte entra nella collaborazione come integration collaborator, portando competenze di architettura per la software supply chain sicura, servizi di cyber risk management e capacità operative per accompagnare i clienti nella gestione delle vulnerabilità lungo l’intero ciclo di vita del software.
L’obiettivo dichiarato è superare uno dei limiti strutturali della sicurezza applicativa tradizionale: la dipendenza dal normale ciclo di aggiornamento del software. In molti ambienti aziendali, infatti, la correzione di una vulnerabilità non è un’operazione immediata. Richiede test, compatibilità, validazione, gestione delle dipendenze, coordinamento tra team interni e fornitori, oltre alla necessità di evitare interruzioni su sistemi critici. Lightwell punta a intervenire proprio su questo punto, separando la remediation di sicurezza dall’obbligo di aggiornare l’intera componente software o applicativa.
Sicurezza della supply chain software, perché il rischio è diventato operativo
La collaborazione tra Deloitte, IBM e Red Hat nasce da un problema ormai strutturale per le imprese: ogni applicazione aziendale moderna è composta da codice proprietario, librerie open source, componenti commerciali e dipendenze terze. Questa stratificazione rende la superficie d’attacco molto più ampia rispetto al passato e, soprattutto, rende più difficile capire con precisione dove si trovi una vulnerabilità, quali processi aziendali possa impattare e con quale urgenza debba essere corretta.
La questione non riguarda più soltanto la presenza di una CVE in un componente utilizzato dall’azienda. Il tema è la capacità di collegare quella vulnerabilità al contesto reale: dove gira quel software, quali sistemi supporta, quali dati tratta, se è esposto a Internet, se è concatenabile con altre debolezze, se esistono exploit attivi e se il componente è effettivamente raggiungibile da un attaccante.
In questo scenario, i modelli di frontiera di intelligenza artificiale hanno aumentato la pressione sui processi di difesa. Il comunicato sottolinea come le capacità dell’AI possano consentire agli avversari di individuare e sfruttare falle zero-day in tempi estremamente ridotti, potenzialmente nell’ordine di pochi minuti. Questo cambia il modello operativo della sicurezza: non basta più identificare le vulnerabilità, occorre essere in grado di validare e distribuire le correzioni con una velocità molto più vicina a quella dell’attaccante.
Lightwell punta a separare patching e upgrade applicativo
Il punto tecnico più rilevante dell’annuncio riguarda il ruolo di Lightwell. L’iniziativa punta a disaccoppiare la remediation di sicurezza del software open source dal tradizionale ciclo di upgrade. In pratica, invece di costringere le aziende ad aggiornare una libreria o una componente a una nuova versione potenzialmente incompatibile con l’applicazione in uso, Lightwell lavora sulle versioni effettivamente presenti negli ambienti di produzione.
Il modello prevede lo sviluppo, il test e il backporting di patch direttamente sulle versioni “pinned”, cioè fissate e già operative nei sistemi aziendali. Questo approccio è importante perché molte imprese non possono aggiornare rapidamente intere componenti applicative senza impattare stabilità, compliance o continuità operativa. Una nuova major release può introdurre cambiamenti funzionali, regressioni o incompatibilità con altri moduli. Una patch mirata, validata sulla versione in uso, riduce invece la frizione tra sicurezza e operatività.
Lightwell combina un modello enterprise di sicurezza open source con una forza ingegneristica attiva. IBM e Red Hat supportano il coordinamento con i maintainer indipendenti e la gestione delle disclosure upstream, mentre il lavoro tecnico si concentra sulla produzione di correzioni validate per le versioni realmente impiegate dai clienti. Il beneficio atteso è la possibilità di proteggere sistemi critici senza imporre upgrade invasivi e senza attendere i tempi lunghi dei normali cicli di manutenzione software.
Il ruolo di Deloitte nella remediation a velocità macchina
Deloitte entra nella collaborazione con un ruolo di integrazione e orchestrazione. La società porterà le proprie competenze nei servizi di cyber risk, nelle architetture di secured software supply chain e nel supporto operativo ai grandi clienti enterprise. Il suo contributo sarà rilevante soprattutto nella traduzione del modello Lightwell in processi concreti all’interno delle organizzazioni.
La collaborazione prevede quattro aree operative: visibilità continua, prioritizzazione contestuale, remediation rapida e gestione della fiducia nell’ecosistema. La prima riguarda la capacità di mappare e scansionare in modo continuo codice proprietario, open source e software commerciale, con l’obiettivo di sapere esattamente quali componenti siano presenti, dove siano distribuite e quali funzioni di business supportino.
La seconda area è la prioritizzazione. Non tutte le vulnerabilità hanno lo stesso peso e non tutte richiedono la stessa urgenza. Il modello annunciato punta a separare le minacce realmente attive dal rumore di fondo, analizzando severità, esposizione, exploitability e possibilità di concatenamento con altre vulnerabilità. Questo è un passaggio essenziale, perché nei grandi ambienti enterprise il volume degli alert può rendere inefficace una gestione puramente numerica o basata solo sul punteggio CVSS.
La terza area è quella della remediation a velocità macchina. Qui entrano in gioco le capacità di validazione automatizzata delle patch sviluppate da IBM e Red Hat, combinate con i servizi di orchestrazione di Deloitte. L’obiettivo è coordinare rapidamente test, validazione e distribuzione delle correzioni nei repository di produzione, riducendo al minimo l’impatto sulle applicazioni operative.
Deloitte manterrà anche un gruppo di Forward Deployed Engineers, FDE, dedicati al supporto continuo per la remediation e la manutenzione delle applicazioni dei clienti. È un elemento significativo, perché sposta il discorso dalla sola tecnologia al modello operativo: non basta avere patch disponibili, serve una capacità stabile di integrarle, verificarle e distribuirle dentro ambienti complessi e spesso fortemente personalizzati.
Open source, AI e vulnerabilità: il nodo della capacità ingegneristica
L’annuncio insiste su un punto ormai evidente nel mercato enterprise: l’open source è un pilastro dell’innovazione software, ma la sua sicurezza richiede capacità ingegneristica, governance e coordinamento. Non è realistico aspettarsi che ogni organizzazione riesca a gestire da sola tutte le vulnerabilità presenti nelle proprie dipendenze, soprattutto quando le applicazioni includono centinaia o migliaia di componenti.
Red Hat, in particolare, sottolinea il bisogno di una capacità di remediation proporzionata alla velocità degli attaccanti. Kevin Kennedy, Vice President, Global Partner Ecosystem di Red Hat, afferma: “L’open source alimenta l’innovazione, ma il volume delle minacce generate dall’AI richiede una capacità ingegneristica pari alla velocità dell’attaccante”. Kennedy aggiunge che il lavoro con Deloitte porterà direttamente negli ambienti applicativi enterprise le capacità di remediation sviluppate con IBM attraverso Lightwell, con l’obiettivo di isolare, correggere e distribuire le fix a protezione delle versioni specifiche da cui dipendono i clienti.
Il tema delle versioni specifiche è cruciale. Molte strategie di vulnerability management si scontrano con la realtà delle applicazioni legacy, dei sistemi regolati, delle piattaforme mission critical e degli ambienti ibridi. In questi contesti, “aggiornare tutto” non è una risposta praticabile. Il backporting di patch validate sulle versioni in uso può diventare quindi una leva importante per ridurre il rischio senza trasformare ogni intervento di sicurezza in un progetto applicativo complesso.
Dalla reazione frammentata a un modello operativo evidence-based
Un altro aspetto rilevante è la dimensione di governance. La collaborazione tra Deloitte, IBM e Red Hat non si limita alla correzione tecnica delle vulnerabilità, ma include anche reporting continuo e basato su evidenze per consigli di amministrazione, auditor e regolatori. Questo punto riflette una trasformazione più ampia della cybersecurity: la sicurezza della supply chain software è ormai un tema di accountability, non solo di operations IT.
Le imprese devono dimostrare di sapere quali componenti software utilizzano, come gestiscono le vulnerabilità, quali rischi residui accettano, quali patch sono state applicate e con quali tempi. La capacità di produrre evidenze verificabili diventa quindi parte integrante del modello di protezione. Non serve soltanto intervenire, serve dimostrare di averlo fatto in modo coerente, tracciabile e proporzionato al rischio.
L’iniziativa punta anche a rafforzare la gestione delle relazioni con maintainer open source e vendor. Il comunicato cita la gestione degli handover pre-disclosure delle vulnerabilità, cioè quei passaggi delicati in cui informazioni sensibili su falle non ancora pubbliche devono essere trasferite e trattate con procedure controllate. È un ambito in cui fiducia, governance e competenze tecniche devono procedere insieme.
Le dichiarazioni di Deloitte, IBM e Red Hat
Adnan Amjad, US Cyber leader di Deloitte, evidenzia la necessità di ridurre drasticamente i tempi di risposta: “Gli exploit non aspettano i processi manuali di patching, e non può farlo nemmeno la risposta enterprise”. Secondo Amjad, la collaborazione abilita i clienti a operare a velocità macchina per identificare, validare e correggere le vulnerabilità. L’obiettivo è costruire una resilienza operativa capace di mantenere la fiducia in ecosistemi software sempre più complessi, con sistemi in grado di assorbire e neutralizzare il rischio senza interrompere il business.
Savio Rodrigues, Vice President, Service Partners di IBM, collega Lightwell direttamente alla trasformazione del panorama delle minacce: “Lightwell è stato creato per affrontare la crescente sfida della protezione del software open source in un contesto di minacce guidato dall’AI”. Rodrigues sottolinea che il modello combina ingegneria, automazione e partnership di ecosistema per affrontare il rischio su larga scala. IBM vede nella collaborazione con Deloitte un modo per estendere questo modello a un numero più ampio di organizzazioni, facendo leva sulle competenze di cyber risk management della società di consulenza.
Kevin Kennedy, Vice President, Global Partner Ecosystem di Red Hat, riassume il ruolo dell’open source e il cambio di passo richiesto dall’AI: “Il nostro lavoro con Deloitte porterà le capacità di remediation che abbiamo sviluppato con IBM attraverso Lightwell direttamente negli ambienti applicativi enterprise”. Kennedy specifica che l’obiettivo comune è isolare, correggere e consegnare le fix, sostenendo al tempo stesso l’ecosistema open source e proteggendo le versioni specifiche da cui dipendono i clienti.
Una collaborazione che si innesta su alleanze già consolidate
L’accordo si inserisce in relazioni già esistenti tra i tre attori. Deloitte e IBM collaborano da tempo su cybersecurity, resilienza, digital trust e rischi legati alle tecnologie emergenti. Deloitte e Red Hat hanno invece una collaborazione decennale basata su tecnologie open source e automazione IT, con particolare attenzione alla gestione della complessità del cloud ibrido e all’integrazione dei processi aziendali.
Questa base di alleanze rende la nuova collaborazione più credibile dal punto di vista operativo. Il tema non è l’annuncio di una singola soluzione puntuale, ma la costruzione di un modello integrato che mette insieme engineering, consulenza, automazione, governance e gestione del rischio. Per i grandi clienti enterprise, la difficoltà principale non è quasi mai solo individuare la tecnologia corretta, ma inserirla in processi esistenti, ambienti eterogenei e vincoli di business.
Perché l’annuncio conta per le imprese
Il valore potenziale della collaborazione tra Deloitte, IBM e Red Hat sta nel tentativo di trasformare la sicurezza della supply chain software da attività reattiva e frammentata a modello operativo coordinato. In molte aziende, il vulnerability management resta ancora diviso tra security team, sviluppatori, operation, procurement, compliance e fornitori esterni. Questa frammentazione rallenta la risposta e rende difficile stabilire priorità reali.
Lightwell, con il contributo di Deloitte, prova a intervenire su tre problemi concreti: sapere con precisione quali componenti software siano in uso, capire quali vulnerabilità siano davvero critiche nel contesto specifico dell’azienda e distribuire patch validate senza bloccare il business. È una risposta pragmatica a un problema sempre più urgente, soprattutto ora che l’automazione offensiva e l’AI stanno comprimendo i tempi tra scoperta, weaponization ed exploit.
Resta naturalmente da verificare l’efficacia del modello su larga scala, soprattutto in ambienti enterprise molto stratificati, con applicazioni legacy, vincoli regolatori e dipendenze difficili da inventariare. Tuttavia, la direzione è chiara: la sicurezza applicativa non può più essere trattata come una sequenza lenta di ticket, upgrade e finestre di manutenzione. Deve diventare una funzione continua, ingegnerizzata, misurabile e integrata nel ciclo di vita del software.
In questo senso, la collaborazione tra Deloitte, IBM e Red Hat intercetta un’esigenza reale del mercato: ridurre l’esposizione senza aumentare la discontinuità operativa. Per le organizzazioni che dipendono da software open source e componenti terze, la capacità di ricevere patch validate sulle versioni effettivamente in produzione potrebbe rappresentare un passaggio importante verso una supply chain software più resiliente, più governabile e più adatta alla velocità delle minacce contemporanee.
Meta description:
