US-Militär will Open Source schützen

Das US-Verteidigungsministerium (Department of Defense, DoD) ist in seiner gesamten Lieferkette stark von Open-Source-Software (OSS) abhängig, darunter Betriebssysteme, Virtualisierungssysteme und Hypervisoren sowie Toolketten für die Softwareentwicklung.

Die AIE SocialCyber Opportunity zielt darauf ab, Fähigkeiten zur Erkennung und Bekämpfung von cyber-sozialen Operationen zu erforschen, die auf OSS-Entwicklergemeinschaften abzielen könnten. SocialCyber will hybride Methoden erforschen, die Analysen von Quellcode, entwicklungsbezogenen Kommunikationsartefakten und multimodalen Social-Media-Aktivitäten im Zusammenhang mit der Open-Source-Entwicklung kombinieren, um die Integrität der Open-Source-Infrastruktur zu schützen, die für das US-Verteidigungsministerium von entscheidender Bedeutung ist.

Die Verwendung von OSS durch das US-Verteidigungsministerium spart Kosten, erhöht die Wartungsfreundlichkeit und zieht talentierte Entwickler an, schafft aber auch eine noch nie dagewesene Angriffsfläche, bei der viele vertrauenswürdige Softwareteile und -pfade für feindliche Manipulationen anfällig sind. Manipulatoren können die gesamte Bandbreite sozialer Mechanismen und Anreize nutzen, die das soziotechnische Ökosystem der OSS so wertvoll machen.

Heutzutage hängt die Integrität dieser Ökosysteme von der manuellen Arbeit ihrer jeweiligen Verwalter ab, die in der Regel auf der Grundlage impliziten Vertrauens und wahrgenommener Reputation handeln. Das Situationsbewusstsein ist eine Frage der Heuristik, wie z. B. des so genannten „Bus-Faktors“ eines Projekts, und von Vermutungen, die auf der langfristigen Beteiligung der Gemeinschaft basieren. Infolgedessen haben die OSS-Verantwortlichen Mühe, die Integrität ihrer Projekte zu schützen. Darüber hinaus erfordert die Verfolgung der Abhängigkeiten moderner Software-Ökosysteme anhaltende, engagierte Bemühungen, die nicht von einer einzelnen Person oder einer Gruppe von Verwaltern erwartet werden können.

Bei OSS-Projekten, bei denen nicht öffentlich zwischen ausnutzbaren Fehlern und funktionalen Fehlern unterschieden wird, können Angreifer kritische Informationen sammeln, bevor Abhilfemaßnahmen abgeschlossen sind, und die Abhilfemaßnahmen stören. Social-Media-Kampagnen zur Störung oder Ablenkung von OSS-Entwicklergemeinschaften können sehr effektiv sein, selbst wenn sie von einigen wenigen Personen gegen eine große und gut etablierte Gemeinschaft durchgeführt werden. Da die Entwicklung von OSS im Wesentlichen ein sozialer Prozess ist, stellen solche Unterbrechungen ein wachsendes Problem dar.