Google présente OSS Rebuild pour lutter contre les menaces de sécurité de la chaîne d’approvisionnement open source

Google présente OSS Rebuild pour lutter contre les menaces de sécurité de la chaîne d’approvisionnement open source

L’importance des logiciels open source et les défis de sécurité

Les logiciels libres constituent le fondement du paysage numérique actuel. Ils représentent 77 % de l’ensemble des applications et représentent une valeur de plus de 12 000 milliards de dollars. Malgré les avantages considérables liés à la disponibilité et à la collaboration communautaire, leur prévalence croissante a donné lieu à des attaques de plus en plus sophistiquées visant la chaîne d’approvisionnement. Ces incidents peuvent miner la confiance, suscitant une réticence des développeurs et des utilisateurs à adopter des solutions libres.

Vulnérabilités récentes de la chaîne d’approvisionnement

Les attaques visant la chaîne d’approvisionnement impliquent l’injection de logiciels malveillants dans des composants logiciels de confiance. Parmi les incidents récents les plus médiatisés, on peut citer :

  • solana/webjs : un compte npm compromis a introduit une porte dérobée, permettant aux attaquants d’accéder et de voler des clés privées de cryptomonnaie.
  • tj-actions/changed-files : cette action GitHub a été contaminée, ce qui a entraîné une fuite de secrets.
  • xz-utils : une porte dérobée sophistiquée a été insérée, accordant aux acteurs malveillants un accès à distance.

Initiative de reconstruction OSS de Google

Pour répondre à ces préoccupations de sécurité, Google a lancé OSS Rebuild. Cet outil permet aux développeurs de vérifier l’intégrité des packages open source en reproduisant leurs builds. Il permet aux utilisateurs de satisfaire aux exigences de niveau 3 de la norme SLSA (Supply-chain Levels for Software Artifacts) avec une intervention minimale des mainteneurs, garantissant ainsi un enregistrement fiable de la création des artefacts logiciels.

La vision de Google pour une transparence accrue

« Notre objectif avec OSS Rebuild est de permettre à la communauté de la sécurité de comprendre et de contrôler en profondeur ses chaînes d’approvisionnement en rendant la consommation de packages aussi transparente que l’utilisation d’un référentiel source.»

Avantages de la reconstruction OSS

Le projet OSS Rebuild présente de nombreux avantages adaptés aussi bien aux équipes de sécurité qu’aux mainteneurs de logiciels :

  • Pour les équipes de sécurité : il offre des outils pour identifier le code source non soumis, repérer les environnements de build compromis et révéler les portes dérobées cachées. De plus, il améliore la qualité des métadonnées, optimise les nomenclatures logicielles (SBOM) et accélère les interventions en cas de vulnérabilité.
  • Pour les mainteneurs : l’initiative renforce la confiance dans les paquets grâce à une vérification indépendante et permet de moderniser les paquets historiques avec des attestations d’intégrité. Actuellement, le projet prend en charge divers écosystèmes, notamment PyPI pour Python, npm pour JavaScript/TypeScript et Createsio pour Rust, avec des projets d’intégration plus large.

Utilisation de OSS Rebuild

Les utilisateurs peuvent exploiter OSS Rebuild via la ligne de commande pour récupérer les détails de provenance, explorer les versions de packages reconstruites et effectuer efficacement leurs reconstructions de packages.

Source de l’image : Depositphotos.com

Source et images

Articles connexes:

Les vidéos Google Drive prennent désormais en charge les aperçus miniatures, avec une mise en garde majeure
Gemini de Google rivalise avec OpenAI et obtient la médaille d'or aux Olympiades de mathématiques

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *