Google запустил инициативу OSS Rebuild для борьбы со злонамеренными модификациями в популярных open-source пакетах. Цель — предотвращение атак через цепочку поставок ПО без нагрузки на разработчиков. «Поскольку атаки на цепочки поставок продолжают нацеливаться на широко используемые зависимости, OSS Rebuild предоставляет командам безопасности мощные данные для предотвращения компрометации», — заявил Мэтью Суоззо из Google Open Source Security Team (GOSST) в блоге компании на этой неделе.
Система анализирует пакеты из Python Package Index (Python), npm (JS/TS) и (Rust), с планами расширения на другие платформы. Она использует декларативные определения сборки, инструментирование и сетевой мониторинг для генерации достоверных метаданных безопасности. Эти метаданные подтверждают происхождение пакета и отсутствие изменений.
Процесс включает четыре этапа: автоматическое определение конфигурации сборки, пересборку пакета, семантическое сравнение с оригиналом и нормализацию артефактов для исключения ложных срабатываний. Результаты публикуются через SLSA Provenance — механизм аттестации, позволяющий проверять происхождение, воспроизводить сборку и кастомизировать её. Для сложных случаев предусмотрена ручная спецификация.
OSS Rebuild выявляет три типа угроз: пакеты с кодом, отсутствующим в публичном репозитории (как в @solana/web3.js), подозрительную активность при сборке (пример: tj-actions/changed-files) и скрытые вредоносные операции (как в инциденте с XZ Utils).
Дополнительные преимущества включают улучшение Software Bill of Materials (SBOM), ускоренное реагирование на уязвимости и повышение доверия к пакетам. Технология снимает исключительную ответственность за безопасность с CI/CD-платформ организаций. Пересборка основана на анализе метаданных и артефактов, а успешная аттестация сборки для актуальных версий пакетов подтверждает их целостность, устраняя множество векторов атак.
Изображение носит иллюстративный характер
Система анализирует пакеты из Python Package Index (Python), npm (JS/TS) и (Rust), с планами расширения на другие платформы. Она использует декларативные определения сборки, инструментирование и сетевой мониторинг для генерации достоверных метаданных безопасности. Эти метаданные подтверждают происхождение пакета и отсутствие изменений.
Процесс включает четыре этапа: автоматическое определение конфигурации сборки, пересборку пакета, семантическое сравнение с оригиналом и нормализацию артефактов для исключения ложных срабатываний. Результаты публикуются через SLSA Provenance — механизм аттестации, позволяющий проверять происхождение, воспроизводить сборку и кастомизировать её. Для сложных случаев предусмотрена ручная спецификация.
OSS Rebuild выявляет три типа угроз: пакеты с кодом, отсутствующим в публичном репозитории (как в @solana/web3.js), подозрительную активность при сборке (пример: tj-actions/changed-files) и скрытые вредоносные операции (как в инциденте с XZ Utils).
Дополнительные преимущества включают улучшение Software Bill of Materials (SBOM), ускоренное реагирование на уязвимости и повышение доверия к пакетам. Технология снимает исключительную ответственность за безопасность с CI/CD-платформ организаций. Пересборка основана на анализе метаданных и артефактов, а успешная аттестация сборки для актуальных версий пакетов подтверждает их целостность, устраняя множество векторов атак.
