Google ha anunciado el lanzamiento de una nueva iniciativa llamada OSS reconstruye Para reforzar la seguridad de los ecosistemas de paquetes de código abierto y evitar ataques de cadena de suministro de software.
«A medida que los ataques de la cadena de suministro continúan dirigiéndose a dependencias ampliamente utilizadas, OSS Rebuild brinda a los equipos de seguridad datos poderosos para evitar compromisos sin carga de los mantenedores ascendentes», dijo Matthew Suozzo, equipo de seguridad de código abierto de Google (Gosst), en una publicación de blog esta semana.
El proyecto tiene como objetivo proporcionar la procedencia de compilación para los paquetes en los registros de paquetes de paquetes de Python (Python), NPM (JS/TS) y CRATES.IO (Rust), con planes de extenderlo a otras plataformas de desarrollo de software de código abierto.
Con OSS Rebuild, la idea es aprovechar una combinación de definiciones de compilación declarativas, instrumentación de compilación y capacidades de monitoreo de red para producir metadatos de seguridad confiables, que luego se pueden utilizar para validar el origen del paquete y asegurarse de que no se haya alterado.
«A través de la automatización y la heurística, determinamos una definición de compilación prospectiva para un paquete objetivo y reconstruimos», dijo Google. «Comparamos semánticamente el resultado con el artefacto aguas arriba existente, normalizando cada uno para eliminar las inestabilidades que causan que las comparaciones de bits para bits fallaran (por ejemplo, compresión de archivo)».
Una vez que se reproduce el paquete, la definición y el resultado de compilación se publica a través de la procedencia de SLSA como un mecanismo de certificación que permite a los usuarios verificar de manera confiable su origen, repetir el proceso de compilación e incluso personalizar la compilación desde una línea de base funcional conocida.
En escenarios en los que la automatización no puede reproducir completamente el paquete, OSS Rebuild ofrece una especificación de construcción manual que se puede usar.
OSS Rebuild, señaló el gigante tecnológico, puede ayudar a detectar diferentes categorías de compromisos de la cadena de suministro, incluidos –
- Paquetes publicados que contienen código no presente en el repositorio de fuente pública (por ejemplo, @solana/web3.js)
- Actividad de construcción sospechosa (p. Ej., TJ-Actions/Cambied-Files)
- Rutas de ejecución inusuales o operaciones sospechosas integradas dentro de un paquete que son difíciles de identificar a través de la revisión manual (por ejemplo, XZ Utils)
Además de asegurar la cadena de suministro de software, la solución puede mejorar las facturas de software de materiales (SBOMS), acelerar la respuesta de vulnerabilidad, fortalecer la confianza de los paquetes y eliminar la necesidad de que las plataformas CI/CD estén a cargo de la seguridad del paquete de una organización.
«Las reconstrucciones se derivan analizando los metadatos y los artefactos publicados y se evalúan con las versiones de los paquetes aguas arriba», dijo Google. «Cuando exitosos, se publican certificaciones de construcción para los artefactos aguas arriba, verificando la integridad del artefacto aguas arriba y eliminando muchas posibles fuentes de compromiso».