OSS Rebuild:重建开源软件包生态系统的信任
2025-07-22
面对日益增长的供应链攻击威胁,Google 推出了 OSS Rebuild 项目,旨在通过重现上游构件来增强对开源软件包生态系统的信任。该项目自动化地为 PyPI、npm 和 Crates.io 等软件包生态系统生成声明式构建定义,并提供 SLSA 证明,满足 SLSA 构建级别 3 的要求,无需发布者干预。OSS Rebuild 还提供构建可观察性和验证工具,以及基础设施定义,方便组织运行自己的实例。通过重建、生成、签名和分发来源,OSS Rebuild 有助于检测未提交的源代码、构建环境泄露和隐蔽的后门等多种供应链攻击,增强软件包的信任,并加速漏洞响应。
开发
SLSA