جوجل تطلق مبادرة OSS Rebuild لتعزيز أمان سلسلة توريد البرمجيات مفتوحة المصدر

أعلنت جوجل عن إطلاق OSS Rebuild، وهو مشروع جديد مصمم للكشف عن هجمات سلسلة التوريد في البرمجيات مفتوحة المصدر عن طريق إعادة إنتاج حزم وتوثيقها بشكل مستقل عبر المستودعات الرئيسية. تستهدف هذه المبادرة، التي كشف عنها فريق أمان المصادر المفتوحة بالشركة، حزم PyPI (بايثون) و npm (جافاسكريبت/تايب سكريبت) و Crates.io (روست).

وقالت الشركة إن النظام ينشئ تلقائيًا بيئات بناء موحدة لإعادة بناء الحزم ومقارنتها بالإصدارات المنشورة. يُنشئ OSS Rebuild شهادات SLSA Provenance لآلاف الحزم، مستوفيًا متطلبات مستوى بناء SLSA 3 دون الحاجة إلى تدخل الناشر. يمكن للمشروع تحديد ثلاث فئات من الاختراقات: الشيفرة المصدرية غير المقدمة وغير الموجودة في المستودعات العامة، التلاعب ببيئة البناء، والأبواب الخلفية المتطورة التي تظهر أنماط تنفيذ غير عادية أثناء عمليات البناء.