DARPA также подтверждает свою обеспокоенность надежностью открытого исходного кода.

Несколько дней назад мы опубликовали новость об опубликованном отчете о беспокойстве многих компаний поили надежность открытого исходного кода и теперь DARPA, исследовательское подразделение вооруженных сил США, дало понять, что оно «озабочено надежностью открытого исходного кода» и заявляет, что хочет понять самую важную технологическую экосистему на планете, которая, по мнению некоторых аналитиков, далека. говорят, что открытый исходный код работает на каждом компьютере на планете и поддерживает работу критической инфраструктуры.

По новый отчет от охранная фирма для разработчиков Snyk и Linux Foundation, 41% компаний не имеют высокой степени уверенности в безопасности своего программного обеспечения с открытым исходным кодом. и широкое использование представляет значительный риск. Большая часть современной цивилизации опирается на постоянно расширяющийся массив открытого исходного кода, потому что он экономит деньги, привлекает таланты и упрощает многие задачи.

«Подождите минутку, буквально все, что мы делаем, работает на Linux», — говорит Дэйв Айтел, исследователь кибербезопасности и бывший специалист по компьютерной безопасности АНБ. «Люди сейчас это понимают, — говорит он. «Не будет преувеличением сказать, что все основаны на ядре Linux, хотя большинство людей никогда о нем не слышали. »

«У разработчиков программного обеспечения сегодня есть собственные цепочки поставок. Вместо того, чтобы собирать автомобильные детали, они собирают код, объединяя существующие компоненты с открытым исходным кодом со своим уникальным кодом. Хотя это приводит к повышению производительности и инновациям, это также создает серьезные проблемы с безопасностью», — сказал Мэтт Джарвис, директор по связям с разработчиками в Snyk.

Ядро Linux является одной из первых программ, загружаемых при включении большинства компьютеров. Он позволяет оборудованию машины взаимодействовать с программным обеспечением, управляет использованием ресурсов и составляет основу операционной системы. Это строительный блок почти всех облачных вычислений, почти всех суперкомпьютеров, всего Интернета вещей, миллиардов смартфонов и многого другого.

Перо ядро также с открытым исходным кодом, как это означает, что любой может писать, читать и использовать ваш код. И это серьезно беспокоит некоторых экспертов по кибербезопасности. Его природа с открытым исходным кодом означает, что ядро ​​Linux, наряду с множеством другого важного программного обеспечения с открытым исходным кодом, открыто для враждебных манипуляций способами, которые мы до сих пор едва понимаем.

Хотя верно то, что это важная технология для нашего общества, не менее верно и то, что, учитывая вышеизложенное, непонимание безопасности ядра означает, что мы не можем защитить критически важные инфраструктуры. Сегодня, DARPA хочет понять столкновение кода и сообщества, благодаря которому эти проекты с открытым исходным кодом работают., чтобы лучше понять риски, с которыми они сталкиваются.

Цель состоит в том, чтобы иметь возможность эффективно распознавать злоумышленников и предотвращать их нарушение или повреждение открытого исходного кода. критически важно, пока не стало слишком поздно. Программа DARPA SocialCyber ​​— это 18-месячный многомиллионный проект, который объединит социологию с последними технологическими достижениями в области искусственного интеллекта для отображения, понимания и защиты обширного сообщества свободного программного обеспечения и кода, который они создают.

Этот проект отличается от большинства предыдущих исследований, поскольку он сочетает в себе автоматический анализ кода и социальные аспекты свободного программного обеспечения.

DARPA заключило контракт с несколькими командами, включая небольшие исследовательские семинары по кибербезопасности с глубокими техническими навыками. Одним из таких исполнителей является нью-йоркская компания Margin Research, которая собрала команду уважаемые исследователи Для домашнего задания. Margin Research фокусируется на ядре Linux отчасти потому, что он настолько велик и настолько важен, что успех здесь, в этом масштабе, означает, что успех возможен везде.

Цель состоит в том, чтобы проанализировать как код, так и сообщество, чтобы наконец визуализировать и понять всю экосистему.. Маржинальная работа помогает определить, кто и над какими частями проектов свободного программного обеспечения работает. Например, Huawei в настоящее время является крупнейшим поставщиком ядра Linux. Другой участник работает в Positive Technologies, российская компания по кибербезопасности, которая, как и Huawei, попала под санкции правительства США, говорит Аитель. Margin также сопоставил код, написанный сотрудниками АНБ, многие из которых участвуют в различных проектах с открытым исходным кодом.

«Эта тема волнует меня, — говорит Антуан о стремлении лучше понять движение за открытый исходный код, — потому что, честно говоря, даже самые простые вещи кажутся такими новыми для многих важных людей. Правительство только что осознало, что наша критически важная инфраструктура использует код, который буквально может быть написан попавшими под санкции организациями. Прямо сейчас."

Для этого исследователи будут использовать такие инструменты, как анализ настроений для анализа социальных взаимодействий в сообществах с открытым исходным кодом, таких как список рассылки ядра Linux, который должен помочь определить, кто является позитивным или конструктивным, а кто негативным и деструктивным.

Исследователи они хотят знать, какие типы событий и поведения могут нарушить или навредить сообщества свободного программного обеспечения, какие члены заслуживают доверия и существуют ли определенные группы, требующие усиленного наблюдения. Эти ответы обязательно субъективны. Но прямо сейчас есть несколько способов найти их.

источник: https://www.darpa.mil