Google、オープンソース供給チェーン強化のため「OSS Rebuild」を発表
Googleは、オープンソースソフトウェアの供給チェーン攻撃を検出するために新たなプロジェクト「OSS Rebuild」を発表しました。
最新の更新
Googleは、オープンソースソフトウェアにおける供給チェーン攻撃を検出するための新しいプロジェクト「OSS Rebuild」を発表しました。このプロジェクトは、主要なリポジトリにおけるパッケージのビルドを独立して再現し、検証することにより、サプライチェーン攻撃を特定することを目的としています。
Googleのオープンソースセキュリティチームが発表したこのイニシアティブは、PyPI(Python)、npm(JavaScript/TypeScript)、Crates.io(Rust)パッケージをターゲットにしています。
OSS Rebuildは、標準化されたビルド環境を自動的に作成し、パッケージを再ビルドして公開されたバージョンと比較します。このシステムは、SLSA Provenance認証を数千のパッケージに対して生成し、発行者の介入なしでSLSA Build Level 3の要件を満たします。
さらに、このプロジェクトは次の3つのクラスの妥協を特定できます:公開リポジトリに存在しないソースコードの未提出、ビルド環境の改ざん、およびビルド中に異常な実行パターンを示す高度なバックドア攻撃。
好きかもしれない
- iOS 26、iPhoneのカスタム着信音設定が簡単に
- 米国、H-1Bビザ抽選制度の見直しを示唆、技能重視の申請者に有利か
- Lenovo、ThinkPad P16 Gen 3を発表:Core Ultra 9とRTX Pro 5000搭載のフラッグシップモバイルワークステーション
- アキュラRSXプロトタイプ、ホンダのゼロEVシリーズを予告
- ジャック・ドーシーがBluetooth暗号化メッセージングアプリ『Bitchat』を発表
- 地球に似た大気を持つ可能性のある惑星、40光年先で発見
- Google、8月の発表を前にPixel 10 Proの新色を公開
- 南アフリカのエネルギー規制当局、30億ドルの料金誤算を謝罪