OSS Rebuild:オープンソースパッケージエコシステムへの信頼の再構築
2025-07-22
Googleの新しいOSS Rebuildプロジェクトは、アップストリームアーティファクトを再現することにより、オープンソースパッケージエコシステムへの信頼を強化することを目的としています。サプライチェーン攻撃の増加に対応して、OSS RebuildはPyPI、npm、Crates.ioなどのパッケージエコシステムに対して、宣言型ビルド定義の作成を自動化し、パブリッシャーの介入なしでSLSAビルドレベル3の要件を満たすSLSAプロベナンスを提供します。ビルドの可観測性と検証ツール、および組織が独自のインスタンスを実行するためのインフラストラクチャ定義を提供します。再構築、生成、署名、プロベナンスの配布を通じて、OSS Rebuildは、未提出のソースコード、侵害されたビルド環境、ステルスバックドアなど、さまざまなサプライチェーンの侵害を検出するのに役立ち、パッケージの信頼性を高め、脆弱性への対応を迅速化します。
開発