Google lanza OSS Rebuild para fortalecer la cadena de suministro de código abierto

Google ha anunciado el lanzamiento de OSS Rebuild, un nuevo proyecto destinado a detectar ataques a la cadena de suministro en software de código abierto. La iniciativa fue presentada por el equipo de Seguridad de Código Abierto de la compañía y tiene como objetivo reproducir y verificar de forma independiente las compilaciones de paquetes en importantes repositorios, como PyPI (Python), npm (JavaScript/TypeScript) y Crates.io (Rust).

Según la compañía, el sistema crea automáticamente entornos de compilación estandarizados para reconstruir los paquetes y compararlos con las versiones publicadas. OSS Rebuild genera certificaciones de Proveniencia SLSA para miles de paquetes, cumpliendo con los requisitos de SLSA Build Level 3 sin necesidad de intervención del editor.

Este proyecto puede identificar tres tipos de compromisos: código fuente no enviado que no está presente en los repositorios públicos, alteraciones en el entorno de compilación y puertas traseras sofisticadas que muestran patrones de ejecución inusuales durante las compilaciones.