为应对开源软件供应链的安全挑战，谷歌推出了名为OSS Rebuild的工具。该工具通过重现构建过程，帮助开发者验证开源软件包的完整性，有效防范“下毒”攻击。开源软件已成为现代应用的基础，但其广泛性也使其成为攻击者的目标。OSS Rebuild能够生成SLSA软件供应链Build Level 3要求，为构建过程提供可验证记录，有助于安全团队检测未提交的源代码、入侵的构建环境和隐藏的后门程序。该项目目前支持PyPI、npm和Createsio，并计划扩展至更多生态系统，通过命令行即可获取来源信息、探索重建版本和包，从而增强元数据、补充软件物料清单并加速漏洞响应。

📦 OSS Rebuild旨在提升开源项目的安全性，通过重现构建过程来验证开源软件包的完整性，从而抵御“下毒”攻击，保护广泛使用的开源组件不被恶意篡改。

📈 该工具能够自动生成满足SLSA软件供应链Build Level 3要求的可验证记录，这对于安全团队来说尤为重要，能够帮助他们检测到未提交的源代码、被入侵的构建环境以及潜在的后门程序。

📊 OSS Rebuild通过增强元数据和补充软件物料清单，进一步提升了软件组件的可追溯性和透明度，同时也能够加速安全漏洞的响应速度，为开发者提供更可靠的软件供应链保障。

🚀 该项目初期支持Python（PyPI）、JavaScript/TypeScript（npm）和Rust（Createsio）等主流生态系统，并计划在未来扩展到更多平台，用户可以通过命令行界面轻松使用，获取关键的来源信息并探索重建版本。

IT之家 7 月 22 日消息，为提升开源项目的安全性，谷歌今日推出了 OSS Rebuild，开发者可利用该工具通过重现构建过程来验证开源软件包的完整性，从而避免开源供应链“下毒”情况。

谷歌介绍称，开源软件已成为数字世界的基础。从关键基础设施到日常应用，开源软件组件占现代应用的 77%。据估计，其价值超过 12 万亿美元（IT之家注：现汇率约合 86.21 万亿元人民币），开源软件从未如此成为全球经济的重要组成部分。

然而，这种普遍性也使开源成为攻击者的目标，比如攻击者针对某一广泛使用的开源组件“投毒”，从而攻击大量使用该开源组件的软件。

谷歌表示，OSS Rebuild 无需维护者投入精力即可生成 SLSA 软件供应链 Build Level 3 要求，从而为开发者提供软件组件构建过程的可验证记录。

OSS Rebuild 项目具有多重优势，主要面向安全团队和维护者。对于安全团队而言，他们能够检测未提交的源代码、构建环境被入侵以及隐蔽的后门程序。OSS Rebuild 还增强了元数据，补充了软件物料清单，并加速了漏洞响应。

IT之家从谷歌官方博客获悉，该项目最初支持 PyPI（Python）、npm（JS / TS）和 Createsio（Rust），并计划支持更多生态系统。用户可以通过命令行使用该项目，以获取来源信息、探索重建版本和重建包。