Google запускает переработку Open Source проектов

Google объявила о запуске проекта OSS Rebuild, новой инициативе, направленной на выявление атак на цепочки поставок в программном обеспечении с открытым исходным кодом путем независимого воспроизведения и проверки сборок пакетов в основных репозиториях.

Проект, представленный командой по безопасности Open Source Security Team, ориентирован на пакеты PyPI (Python), npm (JavaScript/TypeScript) и Crates.io (Rust).

Система автоматически создает стандартизированные окружения сборки для воспроизведения пакетов и сравнения их с опубликованными версиями. OSS Rebuild генерирует аттестации SLSA Provenance для тысяч пакетов, удовлетворяя требованиям SLSA Build Level 3 без вмешательства издателя. Проект способен выявлять три класса компрометации: исходный код, не представленный в публичных репозиториях, вмешательство в окружение сборки и сложные бэкдоры, демонстрирующие необычные шаблоны выполнения во время сборки.

Google привела в качестве примеров недавние реальные атаки, включая случаи с solana/webjs (2024), tj-actions/changed-files (2025) и xz-utils (2024), как примеры угроз, которые решает данная система.

Компоненты с открытым исходным кодом в настоящее время составляют 77% современных приложений, с оценочной стоимостью, превышающей 12 триллионов долларов. Проект основан на модели размещенной инфраструктуры Google, ранее использовавшейся для обнаружения проблем с памятью в OSS Fuzz.