Googleがオープンソース供給チェーンのセキュリティを強化するための『OSS Rebuild』プロジェクトを発表

今週、Googleのオープンソースセキュリティチームは、オープンソースパッケージエコシステムの信頼性を強化する新しいプロジェクト『OSS Rebuild』を発表しました。このプロジェクトは、上流のアーティファクトを再構築することで、セキュリティチームに向けた「ビルドの可視化と検証ツール」や、組織が自分たちのOSS Rebuildインスタンスを実行し、署名および供給元の情報を再構築・配布できるようにするための「インフラ定義」など、さまざまな自動化機能を提供します。

また、この取り組みの一環として、Googleはサポートされているエコシステムにおいて、数千のパッケージに対してSLSA Provenance証明書も公開しました。これにより、オープンソースコミュニティにおけるセキュリティ強化が期待されています。