防止开源供应链「下毒」,谷歌推出 OSS Rebuild 项目
7 月 22 日消息,为提升开源项目的安全性,谷歌推出了 OSS Rebuild,开发者可利用该工具通过重现构建过程来验证开源软件包的完整性,从而避免开源供应链“下毒”情况。
据悉,OSS Rebuild 无需维护者投入精力即可生成 SLSA 软件供应链 Build Level 3 要求,从而为开发者提供软件组件构建过程的可验证记录。OSS Rebuild 项目具有多重优势,主要面向安全团队和维护者。对于安全团队而言,他们能够检测未提交的源代码、构建环境被入侵以及隐蔽的后门程序。OSS Rebuild 还增强了元数据,补充了软件物料清单,并加速了漏洞响应。
根据谷歌官方博客介绍,该项目最初支持 PyPI(Python)、npm(JS / TS)和 Createsio(Rust),并计划支持更多生态系统。用户可以通过命令行使用该项目,以获取来源信息、探索重建版本和重建包。(IT 之家)
原创文章,作者:网站编辑,如若转载,请注明出处:https://www.devcn.xin/1171.html
