谷歌近日推出名为OSS Rebuild的开源项目,旨在通过重建上游构件并与原始软件包比对的方式,提升公众对开源项目的信任度。该工具允许用户验证软件包来源、理解构建过程并进行自定义构建。
Google开源安全团队(GOSST)成员Matthew Suozzo在博客中表示:“OSS Rebuild的目标是通过使软件包消费像使用源代码仓库一样透明,让安全社区能够深度掌控软件供应链。”
该工具能检测多种供应链威胁,包括:
- 公开代码仓库中未包含的恶意代码
- 构建环境被入侵的情况
- 类似XZ Utils事件中的隐蔽后门
项目核心组件包括:
- 自动化获取软件包声明式定义的流程
- SLSA Build Level 3级溯源证明
- 可集成到漏洞管理工作流中的构建观测与验证工具
- 支持用户自建OSS Rebuild实例的基础设施定义
目前支持三大主流语言生态:
- Python(PyPI)
- JavaScript/TypeScript(npm)
- Rust(Crates.io)
谷歌表示未来将扩展支持更多软件包仓库,Suozzo强调:“我们的愿景超越单一生态,致力于为所有开源软件开发带来供应链透明度和安全性。”