Новый проект Google по безопасности 'OSS Rebuild' решает задачу проверки цепочки поставок пакетов.

На этой неделе команда Open Source Security в Google объявила о новом проекте, направленном на укрепление доверия к экосистемам открытых исходных кодов, путем воспроизведения исходных артефактов.

Проект включает в себя автоматизацию для получения декларативных определений сборки, новые инструменты для наблюдения и проверки сборок для команд безопасности, а также определения инфраструктуры, которые помогут организациям перестраивать, подписывать и распространять информацию о происхождении программного обеспечения, запуская собственные экземпляры OSS Rebuild. Кроме того, команда опубликовала подтверждения SLSA Provenance для тысяч пакетов в поддерживаемых экосистемах.

Цель OSS Rebuild — предоставить сообществу безопасности возможность глубокого понимания и контроля над цепочками поставок, сделав потребление пакетов таким же прозрачным, как использование репозитория исходного кода. Платформа воспроизведения обеспечивает эту прозрачность, используя декларативный процесс сборки, инструменты для мониторинга сборки и сетевые возможности, которые в рамках SLSA Build создают детальные, надежные и заслуживающие доверия метаданные безопасности. Развивая модель размещенной инфраструктуры, которую Google впервые внедрила в OSS Fuzz для обнаружения проблем с памятью, OSS Rebuild также стремится использовать размещенные ресурсы для решения проблем безопасности в открытом исходном коде, на этот раз направленных на защиту цепочки поставок программного обеспечения. Google стремится обеспечить прозрачность и безопасность цепочки поставок для всей разработки программного обеспечения с открытым исходным кодом. Первоначальная поддержка реестров пакетов PyPI (Python), npm (JS/TS) и Crates.io (Rust), предоставляющая информацию о воспроизведении для многих из их самых популярных пакетов, — это только начало пути.

OSS Rebuild помогает обнаруживать несколько классов компрометации цепочки поставок:

• Отсутствие исходного кода: если опубликованные пакеты содержат код, отсутствующий в общедоступном репозитории исходного кода, OSS Rebuild не подтвердит артефакт.
• Компрометация среды сборки: создавая стандартизированные минимальные среды сборки с комплексным мониторингом, OSS Rebuild может обнаруживать подозрительную активность сборки или полностью избежать воздействия скомпрометированных компонентов.
• Скрытые бэкдоры: даже сложные бэкдоры, такие как xz, часто демонстрируют аномальные поведенческие паттерны во время сборки. Возможности динамического анализа OSS Rebuild могут обнаруживать необычные пути выполнения или подозрительные операции, которые в противном случае невозможно выявить при ручном анализе.

Для предприятий и специалистов по безопасности OSS Rebuild может:

• Улучшить метаданные без изменения реестров, обогащая данные для пакетов из исходных репозиториев. Нет необходимости поддерживать собственные реестры или переходить в новую экосистему пакетов.
• Расширить SBOM, добавляя подробную информацию о наблюдаемости сборки к существующим спецификациям программных материалов (SBOM), создавая более полную картину безопасности.
• Ускорить реагирование на уязвимости, предоставляя путь к поставщику, исправлению и повторному размещению пакетов из исходных репозиториев с использованием проверяемых определений сборки.

Самый простой (но не единственный!) способ получить доступ к подтверждениям OSS Rebuild — использовать предоставленный интерфейс командной строки на основе Go.

"Благодаря существующей автоматизации OSS Rebuild для PyPI, npm и Crates.io, большинство пакетов получают защиту без усилий со стороны пользователей или сопровождающих."