Google führt OSS Rebuild ein, um Sicherheitsbedrohungen in der Open-Source-Lieferkette zu bekämpfen

Google führt OSS Rebuild ein, um Sicherheitsbedrohungen in der Open-Source-Lieferkette zu bekämpfen

Die Bedeutung von Open-Source-Software und Sicherheitsherausforderungen

Open-Source-Software bildet die Grundlage der heutigen digitalen Landschaft. Sie umfasst beeindruckende 77 % aller Anwendungen und hat einen Wert von über 12 Billionen US-Dollar. Trotz der erheblichen Vorteile von Verfügbarkeit und Community-Zusammenarbeit hat ihre zunehmende Verbreitung zunehmend raffinierte Angriffe auf die Lieferkette nach sich gezogen. Diese Vorfälle können das Vertrauen untergraben und sowohl bei Entwicklern als auch bei Nutzern zu Zurückhaltung bei der Nutzung von Open-Source-Lösungen führen.

Aktuelle Schwachstellen in der Lieferkette

Bei Supply-Chain-Angriffen wird Schadsoftware in vertrauenswürdige Softwarekomponenten eingeschleust. Zu den jüngsten, spektakulären Vorfällen gehören:

  • solana/webjs: Ein kompromittiertes npm-Konto führte eine Hintertür ein, die es Angreifern ermöglichte, auf private Kryptowährungsschlüssel zuzugreifen und diese zu stehlen.
  • tj-actions/changed-files: Diese GitHub-Aktion wurde kontaminiert, was zum Durchsickern von Geheimnissen führte.
  • xz-utils: Es wurde eine ausgeklügelte Hintertür eingefügt, die böswilligen Akteuren Fernzugriff gewährt.

Googles OSS Rebuild Initiative

Als Reaktion auf diese Sicherheitsbedenken hat Google OSS Rebuild eingeführt. Mit diesem Tool können Entwickler die Integrität von Open-Source-Paketen überprüfen, indem sie deren Builds reproduzieren. Es ermöglicht Nutzern, die Anforderungen der Supply-Chain Levels for Software Artifacts (SLSA) Build Level 3 mit minimalem Aufwand von Betreuern zu erfüllen und so eine zuverlässige Aufzeichnung der Softwareartefakt-Erstellung zu gewährleisten.

Googles Vision für mehr Transparenz

„Mit OSS Rebuild möchten wir der Sicherheitscommunity ermöglichen, ihre Lieferketten umfassend zu verstehen und zu kontrollieren, indem wir den Paketverbrauch so transparent machen wie die Verwendung eines Quellrepositorys.“

Vorteile von OSS Rebuild

Das OSS Rebuild-Projekt bietet zahlreiche Vorteile, die sowohl auf Sicherheitsteams als auch auf Software-Wartungsteams zugeschnitten sind:

  • Für Sicherheitsteams: Es bietet Tools zur Identifizierung nicht übermittelten Quellcodes, zur Erkennung kompromittierter Build-Umgebungen und zur Aufdeckung versteckter Hintertüren. Darüber hinaus verbessert es die Metadatenqualität, optimiert Software Bills of Materials (SBOM) und beschleunigt die Behebung von Schwachstellen.
  • Für Maintainer: Die Initiative stärkt das Vertrauen in Pakete durch unabhängige Verifizierung und ermöglicht die Nachrüstung historischer Pakete mit Integritätsnachweisen. Derzeit unterstützt das Projekt verschiedene Ökosysteme, darunter PyPI für Python, npm für JavaScript/TypeScript und Createsio für Rust. Eine breitere Integration der Ökosysteme ist geplant.

Verwenden von OSS Rebuild

Benutzer können OSS Rebuild über die Befehlszeile nutzen, um Herkunftsdetails abzurufen, neu erstellte Paketversionen zu untersuchen und ihre Paketneuerstellungen effizient durchzuführen.

Bildquelle: Depositphotos.com

Quelle & Bilder

Ähnliche Artikel:

Google Drive-Videos unterstützen jetzt Miniaturansichten mit einem wichtigen Vorbehalt
Googles Gemini konkurriert mit OpenAI und erreicht bei der Mathematik-Olympiade den „Goldmedaillen-Standard“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert