HackerNews 编译,转载请注明出处:
谷歌宣布推出一项名为“OSS Rebuild”的新计划,旨在增强开源软件包生态系统的安全性,防范软件供应链攻击。
谷歌开源安全团队(GOSST)的Matthew Suozzo在本周的博客文章中表示:“随着供应链攻击持续针对广泛使用的依赖库,OSS Rebuild能为安全团队提供强大的数据来避免遭受入侵,同时无需增加上游维护者的负担。”
该项目旨在为Python Package Index (Python)、npm (JS/TS) 和 Crates.io (Rust) 软件包注册表提供构建溯源(build provenance),并计划将其扩展到其他开源软件开发平台。
OSS Rebuild 的核心思路是结合利用声明式构建定义(declarative build definitions)、构建工具(build instrumentation)和网络监控能力,生成可信的安全元数据。这些元数据随后可用于验证软件包的来源,并确保其未被篡改。
谷歌表示:“通过自动化和启发式方法,我们确定目标软件包的预期构建定义并重建它。我们将结果与现有的上游制品进行语义比较,对两者进行归一化处理,以消除导致比特级(bit-for-bit)比较失败的不稳定因素(例如,归档压缩差异)。”
成功复现软件包后,构建定义和结果将通过 SLSA Provenance 作为证明机制发布。这使用户能够可靠地验证其来源、重复构建过程,甚至从已知功能基线定制构建。
在自动化无法完全复现软件包的情况下,OSS Rebuild 提供了可替代使用的手动构建规范。
谷歌指出,OSS Rebuild 有助于检测不同类别的供应链入侵事件,包括:
- 包含公共源代码仓库中不存在代码的已发布软件包(例如 @solana/web3.js 事件)可疑的构建活动(例如 tj-actions/changed-files 案例)通过人工审查难以识别的、嵌入在软件包中的异常执行路径或可疑操作(例如 XZ Utils 后门)
除了保护软件供应链,该方案还能改进软件物料清单(SBOM)、加速漏洞响应、增强软件包的可信度,并消除组织依赖 CI/CD 平台负责其软件包安全性的需要。
谷歌解释道:“重建工作通过分析已发布的元数据和制品来推导,并与上游软件包版本进行评估。成功后,将为上游制品发布构建证明,验证上游制品的完整性,并消除许多可能的入侵来源。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
