谷歌宣布推出OSS Rebuild,这是一个旨在通过独立复制和验证各大代码库中的软件包构建来检测开源软件供应链攻击的新项目。该项目由谷歌开源安全团队发布,主要针对PyPI(Python)、npm(JavaScript/TypeScript)和Crates.io(Rust)软件包。谷歌表示,该系统会自动创建标准化的构建环境来重建软件包并将其与已发布的版本进行比较。OSS Rebuild为数千个软件包生成SLSA Provenance证明,满足SLSA Build Level 3的要求,无需发布者干预。该项目可以识别三类入侵:公共代码库中不存在的未提交源代码、构建环境篡改以及在构建过程中表现出异常执行模式的复杂后门。谷歌列举了近期真实发生的攻击,包括solana/webjs(2024)、tj-actions/changed-files(2025)和xz-utils(2024),作为该系统所应对的威胁示例。开源组件目前占现代应用程序的 77%,估计价值超过 12 万亿美元。该项目基于 Google 之前用于 OSS Fuzz 内存问题检测的托管基础架构模型构建。
在 Slashdot 上阅读更多内容。