美国军方担忧开源软件被敌对势力操控
美国军方担忧开源软件被敌对势力操控
可以毫不夸张地说,整个世界都是建立在Linux内核之上的尽管大多数人从未听说过它。...
内核也是开源的,意味着任何人都可以编写、阅读和使用其代码。这让美国军方的网络安全专家感到非常担心。它的开源性质意味着Linux内核连同其他许多关键的开源软件都暴露在敌对势力的操纵之下,而我们对这种操纵的方式还不甚了解。
现在,美国军方的研究部门DARPA希望了解使这些开源项目运作的代码和社区的碰撞,以便更好地了解它们面临的风险。其目标是能够有效地识别恶意行为者,并在为时过晚之前防止他们破坏或损坏至关重要的开源代码。DARPA的 "SocialCyber "计划是一个为期18个月、耗资数百万美元的项目,它将结合社会学和人工智能方面的最新技术进展,绘制、理解和保护这些大规模的开源社区和他们创造的代码。它与以前的大多数研究不同,因为它结合了对开源软件的代码和社会层面的自动分析。
以下是SocialCyber计划的运作方式。DARPA与多个所谓的 "执行者 "团队签订了合同,包括具有深厚技术实力的小型精品网络安全研究机构。总部设在纽约的Margin Research就是这样一个执行者,它为这项任务组建了一支备受尊敬的研究团队。Margin Research专注于Linux内核,部分原因是它是如此之大,如此之关键,在这里成功,在这种规模下,意味着你可以在其他地方成功。我们的计划是分析代码和社区,以便将整个生态系统可视化并最终理解它。
Margin的工作映射出谁在为开源项目的哪些具体部分工作。例如,华为目前是Linux内核的最大贡献者。另一个贡献者为Positive Technologies工作,这是一家俄罗斯网络安全公司,和华为一样,已经被美国政府制裁了,Aitel说。Margin还绘制了由NSA雇员编写的代码,其中许多人参与了不同的开源项目。"这个话题让我很难受,"德安托万谈到对更好地了解开源运动的追求时说,"因为,说实话,即使是最简单的事情,对这么多重要的人来说也显得如此新颖。政府只是刚刚意识到,我们的关键基础设施正在运行的代码,可能真的是由被制裁的实体编写的。就在此时。" 这种研究还旨在发现投资不足即完全由一两个志愿者运行的关键软件。这比你想象的要普遍 如此普遍,以至于目前软件项目衡量风险的一种常见方式是 "总线因素"。如果只有一个人被公车撞了,整个项目会不会崩溃?
SocialCyber也将处理其他开源项目,例如Python,它 "被用于大量的人工智能和机器学习项目",报告指出。"希望更多的了解将使我们更容易防止未来的灾难,无论它是否是由恶意活动造成的"。
