OSS Rebuild: Reconstruindo a confiança nos ecossistemas de pacotes de código aberto
O novo projeto OSS Rebuild do Google visa fortalecer a confiança nos ecossistemas de pacotes de código aberto reproduzindo artefatos upstream. Respondendo ao aumento dos ataques à cadeia de suprimentos, o OSS Rebuild automatiza a criação de definições de compilação declarativas para PyPI, npm e Crates.io, fornecendo prova de SLSA que atende aos requisitos do Nível 3 de compilação do SLSA sem intervenção do publicador. Ele oferece ferramentas de observabilidade e verificação de compilação, juntamente com definições de infraestrutura para organizações executarem suas próprias instâncias. Ao reconstruir, gerar, assinar e distribuir a origem, o OSS Rebuild ajuda a detectar vários comprometimentos da cadeia de suprimentos, como código-fonte não submetido, ambientes de compilação comprometidos e backdoors furtivos, melhorando a confiança do pacote e acelerando a resposta a vulnerabilidades.