Google presenta OSS Rebuild para abordar las amenazas a la seguridad de la cadena de suministro de código abierto

Google presenta OSS Rebuild para abordar las amenazas a la seguridad de la cadena de suministro de código abierto

La importancia del software de código abierto y los desafíos de seguridad

El software de código abierto constituye la base del panorama digital actual, abarcando un impresionante 77 % de todas las aplicaciones y con un valor de más de 12 billones de dólares. A pesar de los importantes beneficios de la disponibilidad y la colaboración comunitaria, su creciente prevalencia ha atraído ataques cada vez más sofisticados a la cadena de suministro. Estos incidentes pueden socavar la confianza, generando reticencia tanto entre desarrolladores como entre usuarios a interactuar con soluciones de código abierto.

Vulnerabilidades recientes en la cadena de suministro

Los ataques a la cadena de suministro implican la inyección de malware en componentes de software confiables. Algunos incidentes recientes de alto perfil incluyen:

  • solana/webjs: Una cuenta npm comprometida introdujo una puerta trasera, lo que permite a los atacantes acceder y robar claves privadas de criptomonedas.
  • tj-actions/changed-files: Esta acción de GitHub se contaminó, lo que resultó en la filtración de secretos.
  • xz-utils: Se insertó una puerta trasera sofisticada que otorga acceso remoto a actores maliciosos.

Iniciativa de reconstrucción de OSS de Google

Como respuesta a estas preocupaciones de seguridad, Google ha presentado OSS Rebuild. Esta herramienta permite a los desarrolladores verificar la integridad de los paquetes de código abierto mediante la reproducción de sus compilaciones. Permite a los usuarios cumplir con los requisitos de nivel de compilación 3 de los Niveles de Cadena de Suministro para Artefactos de Software (SLSA) con una mínima intervención de los mantenedores, lo que garantiza un registro fiable de la creación de artefactos de software.

La visión de Google para una mayor transparencia

Nuestro objetivo con OSS Rebuild es empoderar a la comunidad de seguridad para que comprenda y controle en profundidad sus cadenas de suministro, haciendo que el consumo de paquetes sea tan transparente como usar un repositorio de código fuente.

Beneficios de la reconstrucción de OSS

El proyecto OSS Rebuild presenta numerosas ventajas adaptadas tanto a los equipos de seguridad como a los mantenedores de software:

  • Para equipos de seguridad: Ofrece herramientas para identificar código fuente no enviado, detectar entornos de compilación comprometidos y revelar puertas traseras ocultas. Además, mejora la calidad de los metadatos, optimiza las listas de materiales de software (SBOM) y agiliza la respuesta ante vulnerabilidades.
  • Para los Mantenedores: La iniciativa fortalece la confianza en los paquetes mediante la verificación independiente y permite actualizar los paquetes históricos con certificaciones de integridad. Actualmente, el proyecto es compatible con varios ecosistemas, como PyPI para Python, npm para JavaScript/TypeScript y Createsio para Rust, con planes para una integración más amplia en los ecosistemas.

Uso de OSS Rebuild

Los usuarios pueden aprovechar OSS Rebuild a través de la línea de comandos para obtener detalles de procedencia, explorar versiones de paquetes reconstruidos y realizar reconstrucciones de paquetes de manera eficiente.

Fuente de la imagen: Depositphotos.com

Fuente e imágenes

Artículos relacionados:

Los videos de Google Drive ahora admiten vistas previas en miniatura con una salvedad importante
Gemini de Google compite con OpenAI y logra la medalla de oro en la Olimpiada de Matemáticas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *