Společnost Google oznámila spuštění nové iniciativy nazvané OSS Rebuild, která má posílit bezpečnost ekosystémů balíčků s otevřeným zdrojovým kódem a zabránit útokům na dodavatelský řetězec softwaru. Útoky na dodavatelský řetězec se stále zaměřují na široce používané závislosti, poskytuje OSS Rebuild bezpečnostním týmům užitečné údaje, které jim umožní vyhnout se kompromitaci bez zatížení správců upstreamu,
píše se v oznámení.
Cílem projektu je poskytovat služby sestavení balíčků v úložištích Python Package Index (Python), npm (JS/TS) a Crates.io (Rust). Firma plánuje rozšíření služby také na další platformy pro vývoj open-source softwaru.
OSS Rebuild nabídne využití kombinace deklarativních definic sestavení, instrumentace sestavení a možností monitorování k vytvoření důvěryhodných bezpečnostních metadat, kterých lze následně využít k ověření původu balíčku a zajištění, že s ním nebylo manipulováno. Balíčky bude možné kdykoliv reprodukovatelně sestavit znovu pomocí stejných vstupů a ověřit, že balíček v repozitáři nebyl nijak upraven.
