OSS Rebuild : Reconstruire la confiance dans les écosystèmes de paquets open source
Le nouveau projet OSS Rebuild de Google vise à renforcer la confiance dans les écosystèmes de paquets open source en reproduisant les artefacts en amont. Face à la multiplication des attaques de la chaîne d'approvisionnement, OSS Rebuild automatise la création de définitions de build déclaratives pour PyPI, npm et Crates.io, fournissant une provenance SLSA répondant aux exigences du niveau 3 de build SLSA sans intervention de l'éditeur. Il offre des outils d'observabilité et de vérification de build, ainsi que des définitions d'infrastructure permettant aux organisations d'exécuter leurs propres instances. En reconstruisant, générant, signant et distribuant la provenance, OSS Rebuild aide à détecter divers compromis de la chaîne d'approvisionnement, tels que du code source non soumis, des environnements de build compromis et des portes dérobées furtives, améliorant ainsi la confiance dans les paquets et accélérant la réponse aux vulnérabilités.