جوجل تطلق مبادرة OSS Rebuild لتعزيز أمان سلسلة توريد البرمجيات مفتوحة المصدر
أطلقت جوجل مشروع OSS Rebuild لتعزيز أمان سلسلة توريد البرمجيات مفتوحة المصدر من خلال إعادة بناء الحزم والتحقق منها بشكل مستقل، واكتشاف محاولات التلاعب والاختراقات.
آخر تحديث
أعلنت جوجل عن إطلاق OSS Rebuild، وهو مشروع جديد مصمم للكشف عن هجمات سلسلة التوريد في البرمجيات مفتوحة المصدر عن طريق إعادة إنتاج حزم وتوثيقها بشكل مستقل عبر المستودعات الرئيسية. تستهدف هذه المبادرة، التي كشف عنها فريق أمان المصادر المفتوحة بالشركة، حزم PyPI (بايثون) و npm (جافاسكريبت/تايب سكريبت) و Crates.io (روست).
وقالت الشركة إن النظام ينشئ تلقائيًا بيئات بناء موحدة لإعادة بناء الحزم ومقارنتها بالإصدارات المنشورة. يُنشئ OSS Rebuild شهادات SLSA Provenance لآلاف الحزم، مستوفيًا متطلبات مستوى بناء SLSA 3 دون الحاجة إلى تدخل الناشر. يمكن للمشروع تحديد ثلاث فئات من الاختراقات: الشيفرة المصدرية غير المقدمة وغير الموجودة في المستودعات العامة، التلاعب ببيئة البناء، والأبواب الخلفية المتطورة التي تظهر أنماط تنفيذ غير عادية أثناء عمليات البناء.
قد يعجبك
- نظام iOS 26 يسهل إعداد نغمات رنين iPhone المخصصة
- الولايات المتحدة تعيد التفكير في قرعة تأشيرة H-1B: قد تفضل المتقدمين المهرة
- تسريب جهاز iPad Pro M5 في روسيا: يوتيوبر يستعرض جهاز Apple اللوحي الجديد المحتمل
- الرئيس التنفيذي لمايكروسوفت يتناول تسريحات العمال وسط أرباح قياسية
- لوسيد إير تكسر الرقم القياسي العالمي لأطول مسافة على شحنة واحدة
- الحكومة الأمريكية تطلق محاولة ثانية لتفكيك جوجل في محاكمة مكافحة الاحتكار
- PBS تخفض ميزانيتها بنسبة 21% وسط هجوم ترامب على الإعلام العام
- المسؤول الرئيسي عن Bundler يسجل علامة تجارية للمشروع وسط نزاع مع Ruby Central