7 月 22 日消息,为提升开源项目的安全性,谷歌今日推出了 OSS Rebuild,开发者可利用该工具通过重现构建过程来验证开源软件包的完整性,从而避免开源供应链“下毒”情况。
谷歌介绍称,开源软件已成为数字世界的基础。从关键基础设施到日常应用,开源软件组件占现代应用的 77%。据估计,其价值超过 12 万亿美元(注:现汇率约合 86.21 万亿元人民币),开源软件从未如此成为全球经济的重要组成部分。
然而,这种普遍性也使开源成为攻击者的目标,比如攻击者针对某一广泛使用的开源组件“投毒”,从而攻击大量使用该开源组件的软件。
谷歌表示,OSS Rebuild 无需维护者投入精力即可生成 SLSA 软件供应链 Build Level 3 要求,从而为开发者提供软件组件构建过程的可验证记录。
OSS Rebuild 项目具有多重优势,主要面向安全团队和维护者。对于安全团队而言,他们能够检测未提交的源代码、构建环境被入侵以及隐蔽的后门程序。OSS Rebuild 还增强了元数据,补充了软件物料清单,并加速了漏洞响应。
