the|DARPA欲借SocialCyber项目摸底开源代码的可信度
经历数十年的发展 , 以 Linux 为代表的的开源软件 , 已经在人们的日常工作和生活中做到“润物细无声” 。现实是 , 开源代码几乎有在地球上的每一台计算机上运行 。但与此同时 , 美国国防部高级研究计划局(DARPA)也对其可信程度产生了一丝顾虑 。
文章图片
毫不夸张地说 , 当今世界重度依赖于 Linux 内核 —— 即便大多数人从未听说过它 。
作为大多数计算机启动时最先加载的程序之一 , 它使得运行机器的硬件能够与软件交互、控制资源调用、并充当操作系统的基础 。然而内核的开源 , 也意味着任何人都能够参与到代码的编写、阅读和使用过程中 , 这点让美国军方内部的网络安全专家感到十分担心 。
同时它也是几乎所有云计算、超算、物联网、以及数十亿智能机的核心构建块 。
网络安全研究员兼前 NSA 计算机安全科学家 Dave Aitel 指出:
开源性质意味着 Linux 内核 —— 以及许多其它关键的开源软件 —— 以我们仍然几乎不了解的方式 , 暴露于恶意的操纵之下 。现在 , 美国军方研究机构 DARPA 想要全面了解这些开源项目的功能代码和社区冲突 。
作为当前社会的核心技术 , 不升入了解其内核的安全性 , 就意味着我们无法对关键基础设施给予严格的安全防护 。
通过更好地了解它们面临的风险 , 从而更加有效地识别恶意行为者 , 防止后续对至关重要的开源代码造成破坏 。
具体说来是 , DARPA 设立了一个计划长达 18 个月、耗资数百万美元的“SocialCyber”项目 。
与之前的大多数研究不同 , SocialCyber 结合了开源软件代码和社会维度的自动分析 。DARPA 项目经理 Sergey Bratus 表示:
通过融合社会学与人工智能研究的最新技术进展 , 它得以绘制、理解和保护这些庞大的开源社区 , 及其创建的代码 。
从最初的集体用爱发电、到形成全球性的基础设施 , 再到互联网本身、关键行业和几乎无处不在的关键任务系统的基础 , 开源生态系统可谓是人类历史上最伟大的创造之一 。另一方面 , 以 Dave Aitel 为代表的专家认为 , 尽管开源运动催生了一个所有人依赖的庞大生态系统 , 但我们并不完全理解它 。
因为它能够节省资金、吸引人才、并让诸多工作变得更加轻松 , 现代文明正高度依赖于不断扩大的开源代码库 , 比如电网、航路、运输等行业的系统 。
其中包含了无数的软件项目、数百万行代码、无数的邮件列表和论坛 , 以及身份和动机都不十分明确的贡献者群体 , 结果使得责任很难被追究 。
MIT Tech Review 指出:近年来 , 黑客多次悄悄地将恶意代码插入到开源项目中 , 这些后门可能长期逃过检测 。有鉴于此 , Bratus 认为我们需要借助机器学习技术来消化和理解不断扩大的代码领域 ,
在最坏的情况下 , 整个项目都可能移交给了滥用开源社区信任的不良行为者来接管 , 导致代码、甚至社区网络都被其所染指 。
在大海捞针的情况下 , 即使想要追责 , 也全然不是仅凭普通人手就能够实现的 。
除了自动漏洞发现等实用工具 , 还需要能够理解开源社区的代码编写、修复、实施与影响 。
最终目标是检测并抵御任何恶意活动 , 提交有缺陷的代码、介入干预、阻止开发 , 甚至接管整个开源项目 。至于 SocialCyber 项目的运作方式 , DARPA 已同多个团队签订了协议 , 其中不乏具有深厚技术底蕴的小型竞品网络安全研究机构 。
为此研究人员将使用情绪分析等工具 , 来分析开源社区内的社交互动 —— 比如 Linux 内核邮件列表 。
【the|DARPA欲借SocialCyber项目摸底开源代码的可信度】这将有助于确定谁在积极参与建设 , 同时谁又在消极怠工或悄悄搞破坏 。
以总部位于纽约的 Margin Research 为例 , 其已组建一支由备受推崇的研究人员所组成的团队 。
推荐阅读
- the|拜登政府拨付5600万美元 激励在美国本土制造的太阳能产业
- the|FCC主席提议修订宽带标准:下行100Mbps上行20Mbps
- the|美前CIA工程师被判犯下该机构有史以来最大的机密信息盗窃罪
- the|美国司法部推动反垄断新规落地Google等科技公司将面临更强监管
- the|美国空军和DARPA在空中和地面测试高超音速武器系统
- the|美国政府将对太阳能产品制造项目投入5600万美元
- the|白宫推动扩大半导体生产的资金法案进度缓慢 英特尔正失去耐心
- the|美众议院投票决定建立一个使报告UFO更加容易的政府系统
- the|美国首批单只股票ETF推出,SEC警告:散户别碰
- the|美国国会试图削减半导体芯片制造补贴 预计月内达成共识