OSS Rebuild: Wiederherstellung des Vertrauens in Open-Source-Paketökosysteme
Googles neues Projekt OSS Rebuild zielt darauf ab, das Vertrauen in Open-Source-Paketökosysteme zu stärken, indem es Upstream-Artefakte reproduziert. Als Reaktion auf die Zunahme von Supply-Chain-Angriffen automatisiert OSS Rebuild die Erstellung deklarativer Build-Definitionen für PyPI, npm und Crates.io und liefert SLSA-Provenienz, die die Anforderungen von SLSA Build Level 3 erfüllt, ohne Eingreifen des Herausgebers. Es bietet Build-Observability- und -Verifizierungstools sowie Infrastrukturdefinitionen, damit Organisationen eigene Instanzen ausführen können. Durch das Rebuilding, Generieren, Signieren und Verteilen von Provenienz hilft OSS Rebuild, verschiedene Arten von Supply-Chain-Kompromittierungen wie nicht übermittelten Quellcode, kompromittierte Build-Umgebungen und heimliche Backdoors zu erkennen, wodurch das Vertrauen in Pakete gestärkt und die Reaktion auf Schwachstellen beschleunigt wird.