
開源軟體的重要性與安全性挑戰
開源軟體構成了當今數位格局的基礎,佔所有應用程式的77%,價值超過12兆美元。儘管開源軟體在可用性和社群協作方面具有顯著優勢,但其日益普及也引發了日益複雜的供應鏈攻擊。這些事件可能會破壞信任,導致開發人員和使用者都不願使用開源解決方案。
近期供應鏈漏洞
供應鏈攻擊涉及將惡意軟體注入受信任的軟體元件。最近發生的一些備受關注的事件包括:
- solana/webjs:被入侵的 npm 帳戶引入了後門,使攻擊者能夠存取和竊取加密貨幣私鑰。
- tj-actions/changed-files:此 GitHub Action 已被污染,導致機密洩露。
- xz-utils:插入了一個複雜的後門,允許惡意行為者進行遠端存取。
谷歌的OSS重建計劃
為了因應這些安全問題,Google推出了OSS Rebuild 工具。該工具使開發者能夠透過重現建置版本來驗證開源軟體包的完整性。它允許使用者在極少的維護人員投入的情況下滿足軟體工件供應鏈級別 (SLSA) 構建級別 3 的要求,從而確保軟體工件創建的可靠記錄。
谷歌增強透明度的願景
“OSS Rebuild 的目標是使軟體包消費像使用源存儲庫一樣透明,從而使安全社區能夠深入了解和控制其供應鏈。”
OSS 重建的好處
OSS Rebuild 專案為安全團隊和軟體維護人員提供了眾多優勢:
- 對於安全團隊:它提供工具來識別未提交的原始程式碼、發現受損的建置環境並揭示隱藏的後門。此外,它還能提升元資料質量,增強軟體物料清單 (SBOM),並加快漏洞回應速度。
- 對於維護者:該計劃透過獨立驗證增強了對軟體包的信任,並允許使用完整性證明對歷史軟體包進行改進。目前,該專案支援各種生態系統,包括適用於 Python 的 PyPI、適用於 JavaScript/TypeScript 的 npm 以及適用於 Rust 的 Createsio,並計劃實現更廣泛的生態系統整合。
使用OSS重建
使用者可以透過命令列利用 OSS Rebuild 來獲取來源詳細資訊、探索重建的套件版本並有效地進行套件重建。
圖片來源:Depositphotos.com
發佈留言