Es scheint, dass auch die Frage, ob Google die von Apple gewünschte Infrastruktur aufbauen und bereitstellen kann, die Entscheidung stark beeinflusst hat.
Nun, auch wenn das im Artikel letztlich nicht direkt erwähnt wird, ist das wohl ein Eingeständnis, dass die Strategie gescheitert ist, die von Apple angestrebte KI-Umgebung auf dem gewünschten Niveau in-house innerhalb des Apple-Ökosystems aufzubauen .. (nach dem Apple Car schon wieder). Ich frage mich, wie es wohl gewesen wäre, wenn sie nur etwa zwei Jahre früher dran gewesen wären.
Vielen Dank für die ausführlichen Materialien und die Zusammenfassung. Ich dachte anfangs, es sei etwas Ähnliches wie Linux-Capabilities, aber offenbar ist es ein Ansatz, der sogar dynamische Analyse umfasst.
Ich habe Gemini gebeten, es zu erklären. Ich bin auch nicht für Security zuständig, daher weiß ich es ebenfalls nicht.
[Tiefenreport: Die Sicherheits-Next-Gen-Technologie „Capability Analysis“, auf die PyPI und OpenSSF setzen]
Da Supply-Chain-Angriffe, die das Open-Source-Ökosystem bedrohen, zuletzt immer raffinierter geworden sind, treiben PyPI (Python Package Index) und OpenSSF (Open Source Security Foundation) die Einführung von „Capability Analysis“ (Funktions-/Fähigkeitsanalyse) voran, die über klassische Pattern-Matching-Ansätze hinausgeht.
Der Kern dieser Technologie ist, nicht zu betrachten, „als was sich ein Paket ausgibt“, sondern „was es tatsächlich tun kann“.
Was ist Capability Analysis (Funktionsanalyse)?
Wenn klassische Virenscans dem Abgleich mit einer „Fahndungsliste“ (bekannten Malware-Signaturen) entsprechen, dann prüft Capability Analysis die „Verhaltensfähigkeiten“ eines Pakets.
Egal wie gut es sich als legitimes Utility tarnt: Um ein System zu übernehmen oder Informationen zu stehlen, muss es zwangsläufig bestimmte Ressourcen des Betriebssystems nutzen (Netzwerk, Dateien, Prozesse). Diese Analysetechnik verfolgt, ob ein Paket beim Ausführen von Code die folgenden „sensiblen Berechtigungen (Capabilities)“ ausübt.
Netzwerk (Network): Versucht ein Installationsskript heimlich, Daten an eine externe IP zu senden (Exfiltration) oder eine Verbindung aufzubauen?
Dateisystem (FileSystem): Versucht es, auf sensible Dateien wie SSH-Schlüssel, AWS-Zugangsdaten oder /etc/passwd zuzugreifen oder sie zu verändern?
Prozessausführung (Execution): Führt es Shell-Befehle aus oder erzeugt es dynamisch Code (eval, exec) und startet damit Unterprozesse?
Tatsächlicher Einsatz und vermutete zentrale Security-Tools
Aktuell entwickeln OpenSSF-Projekte und Security-Forschungsgruppen die folgenden Werkzeuge für diese Analyse und setzen sie in Pipelines ein.
A. OpenSSF Package Analysis (offizielles Projekt)
- Überblick: Ein von OpenSSF geführtes Projekt, das Pakete aus PyPI oder NPM in einer isolierten Sandbox-Umgebung tatsächlich installiert und ausführt.
- Funktionsweise: Systemaufrufe (System Calls), die bei der Ausführung des Pakets entstehen, werden auf Kernel-Ebene abgefangen, um Verhaltensdaten zu sammeln, etwa nach dem Muster: „Dieses Paket hat während der Installation versucht, sich mit 192.168.x.x zu verbinden.“
- Technologie-Stack: Verwendet unter anderem gVisor (Sandbox) und Strace (System-Call-Tracking).
B. Packj (Packj)
- Überblick: Ein auf akademischer Forschung (u. a. Georgia Tech) basierendes Tool, das auf das Tagging von „Risky Capabilities“ eines Pakets spezialisiert ist.
- Funktionsweise: Kombiniert statische und dynamische Analyse. Es findet sensible API-Aufrufe im Quellcode und analysiert die Metadaten des Pakets, um etwa festzustellen, ob es sich um ein „verwaistes Paket“ oder um „Typosquatting“ (Namensimitation) handelt.
- Besonderheit: Erkennt ungewöhnliche Berechtigungskombinationen wie „Dieses Paket ist eine Audio-Bibliothek, besitzt aber Netzwerkkommunikations- und Adressbuchzugriffs-Funktionen“.
C. GuardDog
- Überblick: Ein von Datadog veröffentlichtes CLI-Tool, das mit Semgrep (statischer Analyse-Engine) bösartige Muster erkennt.
- Funktionsweise: Identifiziert Code-Muster (Heuristiken), in denen „schädliche Funktionen“ implementiert sind, etwa versteckter obfuskierter Code, Miner-Skripte oder Downloader für ausführbare Dateien.
D. Falco & Sysdig
- Überblick: Runtime-Sicherheitswerkzeuge für Cloud-native Umgebungen.
- Rolle: Werden als Engine genutzt, um anomales Verhalten in Echtzeit zu erkennen, wenn ein Paket innerhalb eines Containers ausgeführt wird (z. B. unerwartete Shell-Zugriffe oder das Lesen sensibler Dateien).
Verwandte Referenzmaterialien und Links
Für ein tieferes Verständnis dieser Technologie können Sie die Originalprojekte und Blogbeiträge heranziehen.
Soweit ich weiß, lädt man vermutlich das Paket herunter, führt den Code aus, entpackt es oder macht statische bzw. dynamische Analysen und schaut dabei, was der Code macht. Vor allem Schadsoftware verbreitet sich häufig auf diese Weise.
Ich habe manchmal auch denselben Gedanken. Es hat kein Ende.
"Manchmal frage ich mich, ob es die falsche Entscheidung war, Softwareentwicklung zu wählen.
Selbst wenn man Senior wird, werden weiterhin Lernen und Side Projects erwartet.
Ich weiß nicht, wann ich überhaupt Zeit für Hobbys oder ein Sozialleben haben werde."
Ich denke, dass absoluter blinder Glaube genauso falsch ist wie stures Misstrauen.
Wichtig ist, die Vor- und Nachteile angemessen abzuwägen und es entsprechend zu nutzen; einfach nur eine FOMO-Stimmung zu erzeugen, halte ich für ein Verkaufsmanöver von AI-Unternehmen.
Wirklich großartig. Das ist ein Text, den alle lesen sollten, von Junior bis Senior.
Ich glaube, dass der Zeitraum von letztem Jahr bis zum nächsten Jahr zum größten Wendepunkt im Software Engineering werden wird.
Wenn man hier den Lauf der Zeit verpasst, könnte man weit zurückfallen.
Da ich die Ursache nicht kannte, war ich ziemlich besorgt und habe einfach eine ältere Version heruntergeladen und genutzt, aber zum Glück wurde die Ursache gefunden :)
> Dass KI-basierte Spielfunktionen selbst in Bord-Entertainment-Systemen zum Standard werden
Aus der Perspektive von jemandem, der die Funktionsweise von Schach-Engines kennt, klang das so absurd übertrieben, dass ich mich gefragt habe, was da los ist....
Schon im Originalvideo gibt es diese übertriebene Zuspitzung, wie sie in der Zusammenfassung steht, gar nicht.
Es wirkt eher wie ein sarkastisches Video darüber, dass der EASY-Schwierigkeitsgrad von Delta Air Lines so stark ist, dass selbst Leute, die etwas Schach spielen können, kaum dagegen gewinnen.
Mich würde allerdings interessieren, warum die Meinung im Abschnitt zu Bedeutung und Implikationen derart einseitig halluziniert wurde.
> Ein Beispiel dafür, dass sich die breite Verbreitung von KI-Technologie bis in den Bereich von Flugdienstleistungen ausdehnt
Es scheint, dass auch die Frage, ob Google die von Apple gewünschte Infrastruktur aufbauen und bereitstellen kann, die Entscheidung stark beeinflusst hat.
Nun, auch wenn das im Artikel letztlich nicht direkt erwähnt wird, ist das wohl ein Eingeständnis, dass die Strategie gescheitert ist, die von Apple angestrebte KI-Umgebung auf dem gewünschten Niveau in-house innerhalb des Apple-Ökosystems aufzubauen .. (nach dem Apple Car schon wieder). Ich frage mich, wie es wohl gewesen wäre, wenn sie nur etwa zwei Jahre früher dran gewesen wären.
Siri ...
Ich bin ein Kind.
Vielen Dank für die ausführlichen Materialien und die Zusammenfassung. Ich dachte anfangs, es sei etwas Ähnliches wie Linux-Capabilities, aber offenbar ist es ein Ansatz, der sogar dynamische Analyse umfasst.
Ich freu mich schon darauf..
Ich habe Gemini gebeten, es zu erklären. Ich bin auch nicht für Security zuständig, daher weiß ich es ebenfalls nicht.
[Tiefenreport: Die Sicherheits-Next-Gen-Technologie „Capability Analysis“, auf die PyPI und OpenSSF setzen]
Da Supply-Chain-Angriffe, die das Open-Source-Ökosystem bedrohen, zuletzt immer raffinierter geworden sind, treiben PyPI (Python Package Index) und OpenSSF (Open Source Security Foundation) die Einführung von „Capability Analysis“ (Funktions-/Fähigkeitsanalyse) voran, die über klassische Pattern-Matching-Ansätze hinausgeht.
Der Kern dieser Technologie ist, nicht zu betrachten, „als was sich ein Paket ausgibt“, sondern „was es tatsächlich tun kann“.
Wenn klassische Virenscans dem Abgleich mit einer „Fahndungsliste“ (bekannten Malware-Signaturen) entsprechen, dann prüft Capability Analysis die „Verhaltensfähigkeiten“ eines Pakets.
Egal wie gut es sich als legitimes Utility tarnt: Um ein System zu übernehmen oder Informationen zu stehlen, muss es zwangsläufig bestimmte Ressourcen des Betriebssystems nutzen (Netzwerk, Dateien, Prozesse). Diese Analysetechnik verfolgt, ob ein Paket beim Ausführen von Code die folgenden „sensiblen Berechtigungen (Capabilities)“ ausübt.
eval,exec) und startet damit Unterprozesse?Aktuell entwickeln OpenSSF-Projekte und Security-Forschungsgruppen die folgenden Werkzeuge für diese Analyse und setzen sie in Pipelines ein.
A. OpenSSF Package Analysis (offizielles Projekt)
- Überblick: Ein von OpenSSF geführtes Projekt, das Pakete aus PyPI oder NPM in einer isolierten Sandbox-Umgebung tatsächlich installiert und ausführt.
- Funktionsweise: Systemaufrufe (System Calls), die bei der Ausführung des Pakets entstehen, werden auf Kernel-Ebene abgefangen, um Verhaltensdaten zu sammeln, etwa nach dem Muster: „Dieses Paket hat während der Installation versucht, sich mit 192.168.x.x zu verbinden.“
- Technologie-Stack: Verwendet unter anderem gVisor (Sandbox) und Strace (System-Call-Tracking).
B. Packj (Packj)
- Überblick: Ein auf akademischer Forschung (u. a. Georgia Tech) basierendes Tool, das auf das Tagging von „Risky Capabilities“ eines Pakets spezialisiert ist.
- Funktionsweise: Kombiniert statische und dynamische Analyse. Es findet sensible API-Aufrufe im Quellcode und analysiert die Metadaten des Pakets, um etwa festzustellen, ob es sich um ein „verwaistes Paket“ oder um „Typosquatting“ (Namensimitation) handelt.
- Besonderheit: Erkennt ungewöhnliche Berechtigungskombinationen wie „Dieses Paket ist eine Audio-Bibliothek, besitzt aber Netzwerkkommunikations- und Adressbuchzugriffs-Funktionen“.
C. GuardDog
- Überblick: Ein von Datadog veröffentlichtes CLI-Tool, das mit Semgrep (statischer Analyse-Engine) bösartige Muster erkennt.
- Funktionsweise: Identifiziert Code-Muster (Heuristiken), in denen „schädliche Funktionen“ implementiert sind, etwa versteckter obfuskierter Code, Miner-Skripte oder Downloader für ausführbare Dateien.
D. Falco & Sysdig
- Überblick: Runtime-Sicherheitswerkzeuge für Cloud-native Umgebungen.
- Rolle: Werden als Engine genutzt, um anomales Verhalten in Echtzeit zu erkennen, wenn ein Paket innerhalb eines Containers ausgeführt wird (z. B. unerwartete Shell-Zugriffe oder das Lesen sensibler Dateien).
Für ein tieferes Verständnis dieser Technologie können Sie die Originalprojekte und Blogbeiträge heranziehen.
Offizieller OpenSSF-Package-Analysis-Blog (Ankündigung und Erklärung der Funktionsweise)
https://openssf.org/blog/2022/…
OpenSSF Package Analysis auf GitHub (Quellcode und Architektur)
https://github.com/ossf/package-analysis
Packj auf GitHub (Tool-Download und Detailfunktionen)
https://github.com/ossillate-inc/packj
GuardDog auf GitHub (Datadogs Tool zur Erkennung bösartiger Pakete in PyPI/NPM)
https://github.com/DataDog/guarddog
PyPI-Security-Report (Melde- und Bearbeitungsverfahren für bösartige Pakete)
https://pypi.org/security/
Soweit ich weiß, lädt man vermutlich das Paket herunter, führt den Code aus, entpackt es oder macht statische bzw. dynamische Analysen und schaut dabei, was der Code macht. Vor allem Schadsoftware verbreitet sich häufig auf diese Weise.
Ich habe manchmal auch denselben Gedanken. Es hat kein Ende.
"Manchmal frage ich mich, ob es die falsche Entscheidung war, Softwareentwicklung zu wählen.
Selbst wenn man Senior wird, werden weiterhin Lernen und Side Projects erwartet.
Ich weiß nicht, wann ich überhaupt Zeit für Hobbys oder ein Sozialleben haben werde."
Gemeinsame Punkte bei den Skills..
Ich bin auf starship umgestiegen.
Tailscale wird oft erwähnt. Tatsächlich gibt es nicht wirklich eine passende Alternative..
Ich denke, dass absoluter blinder Glaube genauso falsch ist wie stures Misstrauen.
Wichtig ist, die Vor- und Nachteile angemessen abzuwägen und es entsprechend zu nutzen; einfach nur eine FOMO-Stimmung zu erzeugen, halte ich für ein Verkaufsmanöver von AI-Unternehmen.
Wenn Sie AI derzeit noch nicht ausreichend in Ihre Arbeit integrieren, scheint es durchaus sinnvoll, FOMO zu verspüren.
Ah, ich habe ein
/vergessen, seufz, ich habe es korrigiert.Wirklich großartig. Das ist ein Text, den alle lesen sollten, von Junior bis Senior.
Ich glaube, dass der Zeitraum von letztem Jahr bis zum nächsten Jahr zum größten Wendepunkt im Software Engineering werden wird.
Wenn man hier den Lauf der Zeit verpasst, könnte man weit zurückfallen.
Da ich die Ursache nicht kannte, war ich ziemlich besorgt und habe einfach eine ältere Version heruntergeladen und genutzt, aber zum Glück wurde die Ursache gefunden :)
https://github.com/kaniini/capsudo
> Dass KI-basierte Spielfunktionen selbst in Bord-Entertainment-Systemen zum Standard werden
Aus der Perspektive von jemandem, der die Funktionsweise von Schach-Engines kennt, klang das so absurd übertrieben, dass ich mich gefragt habe, was da los ist....
Schon im Originalvideo gibt es diese übertriebene Zuspitzung, wie sie in der Zusammenfassung steht, gar nicht.
Es wirkt eher wie ein sarkastisches Video darüber, dass der EASY-Schwierigkeitsgrad von Delta Air Lines so stark ist, dass selbst Leute, die etwas Schach spielen können, kaum dagegen gewinnen.
Mich würde allerdings interessieren, warum die Meinung im Abschnitt zu Bedeutung und Implikationen derart einseitig halluziniert wurde.
> Ein Beispiel dafür, dass sich die breite Verbreitung von KI-Technologie bis in den Bereich von Flugdienstleistungen ausdehnt
Was sind „Sicherheitstools auf Basis von Capability Analysis (Funktionsanalyse)“?
Bei Geräten wie dem Galaxy Book werden Linux-Treiber nicht richtig unterstützt, was unpraktisch ist ... seufz