OSS Rebuild: 오픈소스 패키지 생태계에 대한 신뢰 재구축
2025-07-22
Google의 새로운 OSS Rebuild 프로젝트는 업스트림 아티팩트를 재현하여 오픈소스 패키지 생태계에 대한 신뢰를 강화하는 것을 목표로 합니다. 공급망 공격 증가에 대응하여 OSS Rebuild는 PyPI, npm, Crates.io 등의 패키지 생태계에 대해 선언적 빌드 정의 생성을 자동화하고, 게시자의 개입 없이 SLSA 빌드 레벨 3 요구 사항을 충족하는 SLSA 출처를 제공합니다. 빌드 관찰 가능성 및 검증 도구와 조직이 자체 인스턴스를 실행하기 위한 인프라 정의를 제공합니다. 재구축, 생성, 서명, 출처 배포를 통해 OSS Rebuild는 제출되지 않은 소스 코드, 손상된 빌드 환경, 스텔스 백도어 등 다양한 공급망 손상을 감지하는 데 도움이 되어 패키지 신뢰도를 높이고 취약성에 대한 대응을 가속화합니다.
개발