防止开源供应链“下毒”，谷歌推出 OSS Rebuild 项目

7 月 22 日消息，为提升开源项目的安全性，谷歌今日推出了 OSS Rebuild，开发者可利用该工具通过重现构建过程来验证开源软件包的完整性，从而避免开源供应链“下毒”情况。

谷歌介绍称，开源软件已成为数字世界的基础。从关键基础设施到日常应用，开源软件组件占现代应用的 77%。据估计，其价值超过 12 万亿美元（IT之家注：现汇率约合 86.21 万亿元人民币），开源软件从未如此成为全球经济的重要组成部分。

然而，这种普遍性也使开源成为攻击者的目标，比如攻击者针对某一广泛使用的开源组件“投毒”，从而攻击大量使用该开源组件的软件。

谷歌表示，OSS Rebuild 无需维护者投入精力即可生成 SLSA 软件供应链 Build Level 3 要求，从而为开发者提供软件组件构建过程的可验证记录。

OSS Rebuild 项目具有多重优势，主要面向安全团队和维护者。对于安全团队而言，他们能够检测未提交的源代码、构建环境被入侵以及隐蔽的后门程序。OSS Rebuild 还增强了元数据，补充了软件物料清单，并加速了漏洞响应。

从谷歌官方博客获悉，该项目最初支持 PyPI（Python）、npm（JS / TS）和 Createsio（Rust），并计划支持更多生态系统。用户可以通过命令行使用该项目，以获取来源信息、探索重建版本和重建包。