しかし、オープンソース運動は私たち全員が依存する巨大なエコシステムを生み出しましたが、私たちはそれを完全には理解していません、とAitelのような専門家は主張します。 数え切れないほどのソフトウェアプロジェクト、数百万行のコード、多数のメーリングリストやフォーラム、そしてアイデンティティと動機がしばしばあいまいであり、説明責任を果たせない貢献者の海があります。
それは危険かもしれません。 たとえば、ハッカー 静かに挿入しました 近年、悪意のあるコードをオープンソースプロジェクトに何度も侵入させています。 Backドア 長い間検出を逃れることができ、最悪の場合、プロジェクト全体が 手渡した オープンソースコミュニティとコードに対する人々の信頼を利用する悪意のある人物に。 時々混乱があります 買収 これらのプロジェクトが依存している非常にソーシャルネットワークの。 すべてを追跡することはほとんどでした—けれど 完全ではない—手作業。これは、問題の天文学的なサイズと一致しないことを意味します。
Bratusは、拡大するコードの世界を消化して理解するための機械学習(自動化された脆弱性の発見などの便利なトリックを意味する)と、そのコードを作成、修正、実装、影響を与える人々のコミュニティを理解するためのツールが必要であると主張しています。
最終的な目標は、悪意のあるキャンペーンを検出して対抗し、欠陥のあるコードを送信したり、影響力のある操作を開始したり、開発を妨害したり、オープンソースプロジェクトを制御したりすることです。
これを行うために、研究者は感情分析などのツールを使用して、Linuxカーネルメーリングリストなどのオープンソースコミュニティ内の社会的相互作用を分析します。これは、誰がポジティブまたは建設的で、誰がネガティブで破壊的であるかを特定するのに役立ちます。
研究者は、どのような種類のイベントや行動がオープンソースコミュニティを混乱させたり傷つけたりする可能性があるか、どのメンバーが信頼できるか、そして特別な警戒を正当化する特定のグループがあるかどうかについての洞察を求めています。 これらの答えは必然的に主観的です。 しかし、今のところ、それらを見つける方法はいくつかあります。
専門家は、オープンソースソフトウェアを実行している人々についての死角が、潜在的な操作や攻撃に対して建物全体を熟成させているのではないかと心配しています。 Bratusにとっての主な脅威は、アメリカの重要なインフラストラクチャを実行する「信頼できないコード」の可能性です。これは、歓迎されない驚きを招く可能性のある状況です。
未回答の質問
SocialCyberプログラムの仕組みは次のとおりです。 DARPAは、「パフォーマー」と呼ばれる複数のチームと契約を結んでいます。これには、技術的な知識が豊富な小規模なブティックサイバーセキュリティリサーチショップが含まれます。