ホームページ :テクノロジーを簡単に楽しむ、未来を自由に見る

Google、オープンソース供給チェーン強化のため「OSS Rebuild」を発表

Googleは、オープンソースソフトウェアの供給チェーン攻撃を検出するために新たなプロジェクト「OSS Rebuild」を発表しました。

最新の更新

Googleは、オープンソースソフトウェアにおける供給チェーン攻撃を検出するための新しいプロジェクト「OSS Rebuild」を発表しました。このプロジェクトは、主要なリポジトリにおけるパッケージのビルドを独立して再現し、検証することにより、サプライチェーン攻撃を特定することを目的としています。

Googleのオープンソースセキュリティチームが発表したこのイニシアティブは、PyPI(Python)、npm(JavaScript/TypeScript)、Crates.io(Rust)パッケージをターゲットにしています。

OSS Rebuildは、標準化されたビルド環境を自動的に作成し、パッケージを再ビルドして公開されたバージョンと比較します。このシステムは、SLSA Provenance認証を数千のパッケージに対して生成し、発行者の介入なしでSLSA Build Level 3の要件を満たします。

さらに、このプロジェクトは次の3つのクラスの妥協を特定できます:公開リポジトリに存在しないソースコードの未提出、ビルド環境の改ざん、およびビルド中に異常な実行パターンを示す高度なバックドア攻撃。