开源软件的重要性和安全挑战
开源软件构成了当今数字格局的基础,占所有应用程序的77%,价值超过12万亿美元。尽管开源软件在可用性和社区协作方面具有显著优势,但其日益普及也引发了日益复杂的供应链攻击。这些事件可能会破坏信任,导致开发人员和用户都不愿使用开源解决方案。
近期供应链漏洞
供应链攻击涉及将恶意软件注入受信任的软件组件。最近发生的一些备受关注的事件包括:
- solana/webjs:被入侵的 npm 帐户引入了后门,使攻击者能够访问和窃取加密货币私钥。
- tj-actions/changed-files:此 GitHub Action 已被污染,导致机密泄露。
- xz-utils:插入了一个复杂的后门,允许恶意行为者进行远程访问。
谷歌的OSS重建计划
为了应对这些安全问题,谷歌推出了OSS Rebuild 工具。该工具使开发者能够通过重现构建版本来验证开源软件包的完整性。它允许用户在极少的维护人员投入的情况下满足软件工件供应链级别 (SLSA) 构建级别 3 的要求,从而确保软件工件创建的可靠记录。
谷歌增强透明度的愿景
“OSS Rebuild 的目标是使软件包消费像使用源存储库一样透明,从而使安全社区能够深入了解和控制其供应链。”
OSS 重建的好处
OSS Rebuild 项目为安全团队和软件维护人员提供了众多优势:
- 对于安全团队:它提供工具来识别未提交的源代码、发现受损的构建环境并揭示隐藏的后门。此外,它还能提升元数据质量,增强软件物料清单 (SBOM),并加快漏洞响应速度。
- 对于维护者:该计划通过独立验证增强了对软件包的信任,并允许使用完整性证明对历史软件包进行改进。目前,该项目支持各种生态系统,包括适用于 Python 的 PyPI、适用于 JavaScript/TypeScript 的 npm 以及适用于 Rust 的 Createsio,并计划实现更广泛的生态系统集成。
使用OSS重建
用户可以通过命令行利用 OSS Rebuild 来获取来源详细信息、探索重建的包版本并有效地进行包重建。
图片来源:Depositphotos.com
发表回复