OSS Rebuild: Reconstruyendo la confianza en los ecosistemas de paquetes de código abierto
El nuevo proyecto OSS Rebuild de Google tiene como objetivo fortalecer la confianza en los ecosistemas de paquetes de código abierto reproduciendo artefactos upstream. En respuesta al aumento de los ataques a la cadena de suministro, OSS Rebuild automatiza la creación de definiciones de compilación declarativas para PyPI, npm y Crates.io, proporcionando procedencia SLSA que cumple con los requisitos del Nivel 3 de compilación de SLSA sin intervención del editor. Ofrece herramientas de observabilidad y verificación de compilación, junto con definiciones de infraestructura para que las organizaciones ejecuten sus propias instancias. Al reconstruir, generar, firmar y distribuir la procedencia, OSS Rebuild ayuda a detectar varios compromisos de la cadena de suministro, como código fuente no enviado, entornos de compilación comprometidos y puertas traseras ocultas, mejorando la confianza del paquete y acelerando la respuesta a las vulnerabilidades.