[ad_1]
Ancak Aitel gibi uzmanlar, açık kaynak hareketi hepimizin bağımlı olduğu devasa bir ekosistemi ortaya çıkarmış olsa da, bunu tam olarak anlamadığımızı iddia ediyor. Sayısız yazılım projesi, milyonlarca kod satırı, sayısız posta listesi ve forum ve kimlikleri ve motivasyonları genellikle belirsiz olan ve onları sorumlu tutmayı zorlaştıran bir katkıda bulunanlar okyanusu var.
Bu tehlikeli olabilir. Örneğin, hackerlar sessizce yerleştirdim kötü niyetli kodları son yıllarda birçok kez açık kaynaklı projelere soktu. Bkabul kapıları algılamadan uzun süre kaçabilir ve en kötü durumda, tüm projeler teslim insanların açık kaynak topluluklarına ve koda duydukları güvenden yararlanan kötü aktörlere. Bazen aksaklıklar oluyor, hatta devralmalar bu projelerin bağlı olduğu sosyal ağların Her şeyi takip etmek çoğunlukla—Yine de tam olarak değil— elle yapılan bir çaba, yani sorunun astronomik boyutuyla uyuşmaz.
Bratus, genişleyen kod evrenini (otomatik güvenlik açığı keşfi gibi yararlı hileler anlamına gelir) sindirmek ve anlamak için makine öğrenimine ve bu kodu yazan, düzelten, uygulayan ve etkileyen insan topluluğunu anlamak için araçlara ihtiyacımız olduğunu savunuyor.
Nihai hedef, kusurlu kod göndermek, etki operasyonlarını başlatmak, geliştirmeyi sabote etmek ve hatta açık kaynaklı projelerin kontrolünü ele geçirmek için herhangi bir kötü amaçlı kampanyayı tespit etmek ve bunlara karşı koymaktır.
Bunu yapmak için araştırmacılar, Linux çekirdeği posta listesi gibi açık kaynak toplulukları içindeki sosyal etkileşimleri analiz etmek için duygu analizi gibi araçları kullanacak ve bu, kimin olumlu veya yapıcı, kimin olumsuz ve yıkıcı olduğunu belirlemeye yardımcı olacaktır.
Araştırmacılar, ne tür olayların ve davranışların açık kaynak topluluklarını bozabileceği veya zarar verebileceği, hangi üyelerin güvenilir olduğu ve ekstra uyanıklığı haklı çıkaran belirli grupların olup olmadığı konusunda fikir edinmek istiyor. Bu cevaplar mutlaka özneldir. Ama şu anda onları bulmanın birkaç yolu var.
Uzmanlar, açık kaynaklı yazılım çalıştıran kişiler hakkındaki kör noktaların, tüm yapıyı potansiyel manipülasyon ve saldırılar için hazır hale getirmesinden endişe ediyor. Bratus için birincil tehdit, Amerika’nın kritik altyapısını çalıştıran “güvenilmez kod” olasılığıdır – bu, istenmeyen sürprizleri davet edebilecek bir durumdur.
Cevapsız sorular
SocialCyber programı şu şekilde çalışır. DARPA, derin teknik becerilere sahip küçük, butik siber güvenlik araştırma mağazaları da dahil olmak üzere, “performans” olarak adlandırdığı birçok ekiple sözleşme yapmıştır.
[ad_2]
Kaynak : https://www.technologyreview.com/2022/07/14/1055894/us-military-sofware-linux-kernel-open-source/