Categories: Open SourceSoftware

US-Militär will Open Source schützen

Das US-Verteidigungsministerium (Department of Defense, DoD) ist in seiner gesamten Lieferkette stark von Open-Source-Software (OSS) abhängig, darunter Betriebssysteme, Virtualisierungssysteme und Hypervisoren sowie Toolketten für die Softwareentwicklung.

Die AIE SocialCyber Opportunity zielt darauf ab, Fähigkeiten zur Erkennung und Bekämpfung von cyber-sozialen Operationen zu erforschen, die auf OSS-Entwicklergemeinschaften abzielen könnten. SocialCyber will hybride Methoden erforschen, die Analysen von Quellcode, entwicklungsbezogenen Kommunikationsartefakten und multimodalen Social-Media-Aktivitäten im Zusammenhang mit der Open-Source-Entwicklung kombinieren, um die Integrität der Open-Source-Infrastruktur zu schützen, die für das US-Verteidigungsministerium von entscheidender Bedeutung ist.

Die Verwendung von OSS durch das US-Verteidigungsministerium spart Kosten, erhöht die Wartungsfreundlichkeit und zieht talentierte Entwickler an, schafft aber auch eine noch nie dagewesene Angriffsfläche, bei der viele vertrauenswürdige Softwareteile und -pfade für feindliche Manipulationen anfällig sind. Manipulatoren können die gesamte Bandbreite sozialer Mechanismen und Anreize nutzen, die das soziotechnische Ökosystem der OSS so wertvoll machen.

Heutzutage hängt die Integrität dieser Ökosysteme von der manuellen Arbeit ihrer jeweiligen Verwalter ab, die in der Regel auf der Grundlage impliziten Vertrauens und wahrgenommener Reputation handeln. Das Situationsbewusstsein ist eine Frage der Heuristik, wie z. B. des so genannten „Bus-Faktors“ eines Projekts, und von Vermutungen, die auf der langfristigen Beteiligung der Gemeinschaft basieren. Infolgedessen haben die OSS-Verantwortlichen Mühe, die Integrität ihrer Projekte zu schützen. Darüber hinaus erfordert die Verfolgung der Abhängigkeiten moderner Software-Ökosysteme anhaltende, engagierte Bemühungen, die nicht von einer einzelnen Person oder einer Gruppe von Verwaltern erwartet werden können.

Bei OSS-Projekten, bei denen nicht öffentlich zwischen ausnutzbaren Fehlern und funktionalen Fehlern unterschieden wird, können Angreifer kritische Informationen sammeln, bevor Abhilfemaßnahmen abgeschlossen sind, und die Abhilfemaßnahmen stören. Social-Media-Kampagnen zur Störung oder Ablenkung von OSS-Entwicklergemeinschaften können sehr effektiv sein, selbst wenn sie von einigen wenigen Personen gegen eine große und gut etablierte Gemeinschaft durchgeführt werden. Da die Entwicklung von OSS im Wesentlichen ein sozialer Prozess ist, stellen solche Unterbrechungen ein wachsendes Problem dar.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago