
A importância do software de código aberto e os desafios de segurança
O software de código aberto constitui a base do cenário digital atual, representando impressionantes 77% de todas as aplicações e avaliado em mais de US$ 12 trilhões. Apesar dos benefícios significativos da disponibilidade e da colaboração da comunidade, sua crescente prevalência tem atraído ataques cada vez mais sofisticados à cadeia de suprimentos. Esses incidentes podem minar a confiança, causando relutância tanto de desenvolvedores quanto de usuários em se envolver com soluções de código aberto.
Vulnerabilidades recentes na cadeia de suprimentos
Ataques à cadeia de suprimentos envolvem a injeção de malware em componentes de software confiáveis. Alguns incidentes recentes de grande repercussão incluem:
- solana/webjs: Uma conta npm comprometida introduziu um backdoor, permitindo que invasores acessassem e roubassem chaves privadas de criptomoedas.
- tj-actions/changed-files: Esta ação do GitHub foi contaminada, resultando em vazamento de segredos.
- xz-utils: Um backdoor sofisticado foi inserido, concedendo acesso remoto a agentes maliciosos.
Iniciativa de reconstrução do OSS do Google
Em resposta a essas preocupações de segurança, o Google lançou o OSS Rebuild. Essa ferramenta permite que desenvolvedores verifiquem a integridade de pacotes de código aberto reproduzindo suas compilações. Ela permite que os usuários atendam aos requisitos de compilação de Nível 3 dos Níveis da Cadeia de Suprimentos para Artefatos de Software (SLSA) com o mínimo de intervenção dos mantenedores, garantindo um registro confiável da criação de artefatos de software.
A visão do Google para maior transparência
“Nosso objetivo com o OSS Rebuild é capacitar a comunidade de segurança a entender e controlar profundamente suas cadeias de suprimentos, tornando o consumo de pacotes tão transparente quanto o uso de um repositório de origem.”
Benefícios da reconstrução do OSS
O projeto OSS Rebuild apresenta inúmeras vantagens adaptadas tanto às equipes de segurança quanto aos mantenedores de software:
- Para equipes de segurança: oferece ferramentas para identificar código-fonte não enviado, identificar ambientes de compilação comprometidos e revelar backdoors ocultos. Além disso, melhora a qualidade dos metadados, aprimora as Listas de Materiais de Software (SBOM) e acelera os esforços de resposta a vulnerabilidades.
- Para Mantenedores: A iniciativa fortalece a confiança nos pacotes por meio de verificação independente e permite que pacotes históricos sejam atualizados com atestados de integridade. Atualmente, o projeto oferece suporte a vários ecossistemas, incluindo PyPI para Python, npm para JavaScript/TypeScript e Createsio para Rust, com planos para uma integração mais ampla do ecossistema.
Usando OSS Rebuild
Os usuários podem aproveitar o OSS Rebuild por meio da linha de comando para obter detalhes de procedência, explorar versões de pacotes reconstruídos e conduzir suas reconstruções de pacotes com eficiência.
Fonte da imagem: Depositphotos.com
Deixe um comentário