Google oznámil spuštění nové iniciativy OSS Rebuild, která má chránit open-source ekosystémy před útoky na dodavatelský řetězec a odhalovat škodlivý kód v široce používaných balíčcích. Projekt je zaměřen na zajištění sledovatelnosti a ověřování integrity balíčků z registrů Python Package Index (Python), npm (JavaScript/TypeScript) a Crates.io (Rust), s plánem rozšíření i na další platformy.

OSS Rebuild kombinuje deklarativní definice sestavení, nástroje pro jejich instrumentaci a síťový monitoring. Každý balíček je znovu sestaven podle automaticky určené nebo ručně zadané definice a výsledek je semanticky porovnán s originálním „upstream“ artefaktem. Rozdíly, které nejsou podstatné (například způsobené kompresí), jsou normalizovány, aby se předešlo falešným poplachům.

Po úspěšném ověření jsou výsledky zveřejněny prostřednictvím SLSA Provenance – ověřitelného mechanismu, který potvrzuje původ balíčku, umožňuje proces zopakovat a případně přizpůsobit pro konkrétní potřeby.

Iniciativa dokáže odhalit různé formy kompromitace, včetně publikovaných balíčků s kódem mimo oficiální repozitář, podezřelých postupů při sestavení nebo skrytých operací, které jsou při ruční kontrole obtížně zjistitelné.

Podle Google může OSS Rebuild zlepšit bezpečnost dodavatelského řetězce softwaru, zrychlit reakce na zranitelnosti, zvýšit důvěru v balíčky a zároveň snížit zátěž pro vývojáře a správce. Rebuildy vycházejí z analýzy zveřejněných metadat a artefaktů, čímž se eliminuje mnoho potenciálních zdrojů kompromitace.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS