Google heeft de lancering aangekondigd van een nieuw initiatief genaamd OSS herbouwen Om de beveiliging van het open-source pakket-ecosystemen te versterken en software-supply chain-aanvallen te voorkomen.
“Terwijl aanvallen van supply chain zich blijven richten op veelgebruikte afhankelijkheden, geeft OSS Rebuild beveiligingsteams krachtige gegevens om een compromis te voorkomen zonder last op upstream-onderhouders,” zei Matthew Suozzo, Google Open Source Sourth-beveiligingsteam (GOSST), deze week in een blogpost.
Het project is bedoeld om build-herkomst te bieden voor pakketten in de Python Package Index (Python), NPM (JS/TS) en Crates.io (Rust) pakketregisters, met plannen om het uit te breiden naar andere open-source softwareontwikkelingsplatforms.
Met OSS Rebuild is het idee om een combinatie van declaratieve build -definities te gebruiken, instrumentatie en netwerkbewakingsmogelijkheden te bouwen om betrouwbare beveiligingsmetadata te produceren, die vervolgens kan worden gebruikt om de oorsprong van het pakket te valideren en ervoor te zorgen dat het niet is geknoeid.
“Door automatisering en heuristieken bepalen we een potentiële builddefinitie voor een doelpakket en herbouwen het,” zei Google. “We vergelijken het resultaat semantisch met het bestaande stroomopwaartse artefact, waarbij we elk normaliseren om instabiliteiten te verwijderen die ervoor zorgen dat bit-bit vergelijkingen falen (bijvoorbeeld archiefcompressie).”
Zodra het pakket is gereproduceerd, wordt de builddefinitie en het resultaat via SLSA-herkomst gepubliceerd als een attestmechanisme waarmee gebruikers de oorsprong ervan op betrouwbare wijze kunnen verifiëren, het bouwproces kunnen herhalen en zelfs de build kunnen aanpassen vanuit een bekende functie.
In scenario’s waarin automatisering het pakket niet volledig kan reproduceren, biedt OSS Rebuild een handmatige buildspecificatie die in plaats daarvan kan worden gebruikt.
OSS Rebuild, merkte de tech -reus op, kan helpen bij het detecteren van verschillende categorieën supply chain compromissen, waaronder –
- Gepubliceerde pakketten die code bevatten die niet aanwezig zijn in de openbare bronrepository (bijv. @Solana/web3.js)
- Verdachte build-activiteit (bijv. TJ-acties/veranderde pijlen)
- Ongewone uitvoeringspaden of verdachte bewerkingen ingebed in een pakket dat een uitdaging is om te identificeren via handmatige beoordeling (bijv. XZ Utils)
Naast het beveiligen van de software -supply chain, kan de oplossing de softwarefactoren (SBOM’s) verbeteren, de kwetsbaarheidsrespons versnellen, pakketvertrouwen versterken en de noodzaak voor CI/CD -platforms elimineren om de pakketbeveiliging van een organisatie te hebben.
“Wederopbouw wordt afgeleid door de gepubliceerde metadata en artefacten te analyseren en worden geëvalueerd tegen de upstream -pakketversies,” zei Google. “Indien succesvol, worden build -attestaties gepubliceerd voor de stroomopwaartse artefacten, verifiëren de integriteit van het stroomopwaartse artefact en elimineren veel mogelijke bronnen van compromis.”
