Google apresenta o OSS Rebuild para combater ameaças à segurança da cadeia de suprimentos de código aberto

Google apresenta o OSS Rebuild para combater ameaças à segurança da cadeia de suprimentos de código aberto

A importância do software de código aberto e os desafios de segurança

O software de código aberto constitui a base do cenário digital atual, representando impressionantes 77% de todas as aplicações e avaliado em mais de US$ 12 trilhões. Apesar dos benefícios significativos da disponibilidade e da colaboração da comunidade, sua crescente prevalência tem atraído ataques cada vez mais sofisticados à cadeia de suprimentos. Esses incidentes podem minar a confiança, causando relutância tanto de desenvolvedores quanto de usuários em se envolver com soluções de código aberto.

Vulnerabilidades recentes na cadeia de suprimentos

Ataques à cadeia de suprimentos envolvem a injeção de malware em componentes de software confiáveis. Alguns incidentes recentes de grande repercussão incluem:

  • solana/webjs: Uma conta npm comprometida introduziu um backdoor, permitindo que invasores acessassem e roubassem chaves privadas de criptomoedas.
  • tj-actions/changed-files: Esta ação do GitHub foi contaminada, resultando em vazamento de segredos.
  • xz-utils: Um backdoor sofisticado foi inserido, concedendo acesso remoto a agentes maliciosos.

Iniciativa de reconstrução do OSS do Google

Em resposta a essas preocupações de segurança, o Google lançou o OSS Rebuild. Essa ferramenta permite que desenvolvedores verifiquem a integridade de pacotes de código aberto reproduzindo suas compilações. Ela permite que os usuários atendam aos requisitos de compilação de Nível 3 dos Níveis da Cadeia de Suprimentos para Artefatos de Software (SLSA) com o mínimo de intervenção dos mantenedores, garantindo um registro confiável da criação de artefatos de software.

A visão do Google para maior transparência

“Nosso objetivo com o OSS Rebuild é capacitar a comunidade de segurança a entender e controlar profundamente suas cadeias de suprimentos, tornando o consumo de pacotes tão transparente quanto o uso de um repositório de origem.”

Benefícios da reconstrução do OSS

O projeto OSS Rebuild apresenta inúmeras vantagens adaptadas tanto às equipes de segurança quanto aos mantenedores de software:

  • Para equipes de segurança: oferece ferramentas para identificar código-fonte não enviado, identificar ambientes de compilação comprometidos e revelar backdoors ocultos. Além disso, melhora a qualidade dos metadados, aprimora as Listas de Materiais de Software (SBOM) e acelera os esforços de resposta a vulnerabilidades.
  • Para Mantenedores: A iniciativa fortalece a confiança nos pacotes por meio de verificação independente e permite que pacotes históricos sejam atualizados com atestados de integridade. Atualmente, o projeto oferece suporte a vários ecossistemas, incluindo PyPI para Python, npm para JavaScript/TypeScript e Createsio para Rust, com planos para uma integração mais ampla do ecossistema.

Usando OSS Rebuild

Os usuários podem aproveitar o OSS Rebuild por meio da linha de comando para obter detalhes de procedência, explorar versões de pacotes reconstruídos e conduzir suas reconstruções de pacotes com eficiência.

Fonte da imagem: Depositphotos.com

Fonte e Imagens

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *