Google presenta OSS Rebuild per affrontare le minacce alla sicurezza della supply chain open source

Google presenta OSS Rebuild per affrontare le minacce alla sicurezza della supply chain open source

L’importanza del software open source e le sfide della sicurezza

Il software open source costituisce il fondamento del panorama digitale odierno, rappresentando ben il 77% di tutte le applicazioni e con un valore di oltre 12 trilioni di dollari. Nonostante i significativi vantaggi in termini di disponibilità e collaborazione tra comunità, la sua crescente diffusione ha attratto attacchi alla supply chain sempre più sofisticati. Questi incidenti possono minare la fiducia, causando riluttanza sia tra gli sviluppatori che tra gli utenti a utilizzare soluzioni open source.

Recenti vulnerabilità della catena di fornitura

Gli attacchi alla supply chain comportano l’iniezione di malware in componenti software affidabili. Tra i recenti incidenti di alto profilo si segnalano:

  • solana/webjs: un account npm compromesso ha introdotto una backdoor, consentendo agli aggressori di accedere e rubare le chiavi private delle criptovalute.
  • tj-actions/changed-files: questa GitHub Action è stata contaminata, con conseguente fuga di segreti.
  • xz-utils: è stata inserita una backdoor sofisticata che garantisce ai malintenzionati l’accesso remoto.

Iniziativa di ricostruzione OSS di Google

In risposta a queste preoccupazioni in materia di sicurezza, Google ha introdotto OSS Rebuild. Questo strumento consente agli sviluppatori di verificare l’integrità dei pacchetti open source riproducendo le loro build. Permette agli utenti di soddisfare i requisiti di livello 3 di Supply-chain Levels for Software Artifacts (SLSA) con un input minimo da parte dei responsabili della manutenzione, garantendo una registrazione affidabile della creazione di artefatti software.

La visione di Google per una maggiore trasparenza

“Il nostro obiettivo con OSS Rebuild è quello di consentire alla comunità della sicurezza di comprendere e controllare in modo approfondito le proprie supply chain, rendendo l’utilizzo dei pacchetti trasparente quanto l’utilizzo di un repository sorgente.”

Vantaggi della ricostruzione OSS

Il progetto OSS Rebuild presenta numerosi vantaggi pensati sia per i team di sicurezza che per i manutentori del software:

  • Per i team di sicurezza: offre strumenti per identificare codice sorgente non inviato, individuare ambienti di build compromessi e rivelare backdoor nascoste. Inoltre, migliora la qualità dei metadati, ottimizza le distinte base del software (SBOM) e accelera gli sforzi di risposta alle vulnerabilità.
  • Per i manutentori: l’iniziativa rafforza la fiducia nei pacchetti attraverso la verifica indipendente e consente di aggiornare i pacchetti storici con attestazioni di integrità. Attualmente, il progetto supporta vari ecosistemi, tra cui PyPI per Python, npm per JavaScript/TypeScript e Createsio per Rust, con piani per una più ampia integrazione dell’ecosistema.

Utilizzo di OSS Rebuild

Gli utenti possono sfruttare OSS Rebuild tramite la riga di comando per recuperare i dettagli sulla provenienza, esplorare le versioni dei pacchetti ricostruiti ed eseguire in modo efficiente le ricostruzioni dei pacchetti.

Fonte dell’immagine: Depositphotos.com

Fonte e immagini

Articoli correlati:

I video di Google Drive ora supportano le anteprime in miniatura con una limitazione importante
Gemini di Google compete con OpenAI, raggiungendo il "livello di medaglia d'oro" alle Olimpiadi della matematica

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *