Google, yukarı akış eserlerini bağımsız olarak yeniden üreterek paket kayıtlarına güveni artırmak için tasarlanmış öncü bir proje olan OSS Rebuild’i tanıttı.
Bu girişim, Python’un PYPI, JavaScript/TypeScript’in NPM’si ve Rust’s Crates.io’daki yaygın olarak kullanılan bağımlılıklara yönelik artan tedarik zinciri saldırılarını hedeflemektedir.
OSS’deki tedarik zinciri güvenlik açıklarını ele almak
Bildirici yapı tanımlarının türetilmesini otomatikleştirerek OSS REBUID, hepsi paket bakımcılarının müdahalesini gerektirmeden SLSA (yazılım artefaktları için tedarik zinciri seviyeleri) oluşturma seviyesi 3 gereksinimlerini karşılayan provenans onaylarını oluşturur.
Bu, güvenlik ekiplerine doğrulanabilir meta veriler, gözlemlenebilirlik araçları ve altyapı planları oluşturma, yeniden inşa etmek, imzalamak ve dağıtmak için özel örnekleri dağıtmak ve böylece güvenlik açığı yönetimi iş akışlarına sorunsuz bir şekilde entegre etmek için sunar.
Projenin temeli, modern uygulamaların% 77’sini oluşturan ve 12 trilyon doları aşan tahmini bir ekonomik değere sahip olan OSS’nin yaygın rolünü tanımaktır.
Bununla birlikte, bu yaygınlık, Solana/WebJ’lerin 2024 uzlaşması, 2025 TJ-Action/Değişen Files ihlali ve kötü şöhretli XZ-Uutils Backdoor gibi olayların kanıtlandığı gibi, sofistike saldırılar için birincil bir hedef haline getirmiştir.
OSS yeniden oluşturma, yapı süreçlerini çıkarmak için sezgisel tarama kullanarak, arşiv sıkıştırma ve ayrıntılı provenans yayınlama gibi belirsiz unsurları hesaba katan orijinallerle anlamsal olarak karşılaştırarak bunları saygılar.
Bu, tüketicilerin paket kökenlerini kaynak geçmişine karşı doğrulamalarını, yapıları çoğaltmasını ve hatta geliştirilmiş yazılım malzemeleri (SBOM’lar) için genişletmelerini sağlar.
Otomasyonun yetersiz kaldığı paketler için, manuel spesifikasyonlar desteklenir ve ortaya çıkan AI entegrasyonları, dokümantasyonları ayrıştırmak ve karmaşık reprodüksiyonları otomatikleştirmek için doğal dil işlemeden yararlanarak karmaşık senaryolarda insan çabalarını azaltır.
Şeffaf yapılara sahip koruyucular
Rapora göre, OSS Rebuild’in yetenekleri, abartılmamış kaynak kodu tutarsızlıkları, çevre kurcalama ve gizli, dinamik analiz ve standartlaştırılmış, izlenen ortamlar dahil olmak üzere birden fazla uzlaşma vektörünün tespit edilmesine kadar uzanıyor.
İşletmeler, kayıtları değiştirmeden mevcut SBOM’ları artıran zenginleştirilmiş meta verilerden yararlanır, yeniden barındırma için doğrulanabilir yapı taban çizgileri sunarak yamayı hızlandırır ve tarihsel paketler için bağımsız bütünlük doğrulaması sağlar.
Bakım yapanlar için, eski sürümlere onaylamaları güçlendirir, yeniden inşa etmek için doğrulamayı boşaltarak CI/CD boru hatları üzerindeki güvenlik yükünü azaltır ve Fuzz testi için Google’ın OSS-Fuzz’larının barındırılan altyapı modelini yansıtan şeffaf, tekrarlanabilir süreçler yoluyla güveni teşvik eder.
Basit bir ‘Go Install’ komutuyla yüklenebilen Go tabanlı bir CLI aracı ile erişilebilir, kullanıcılar Cratesio Syn 2.0.39 gibi paketler için provenans getirebilir, Pypi’nin absl-py için yeniden oluşturulmuş sürümleri listeleyebilir veya yerel yeniden oluşturma için dockerfiles oluşturabilir.
Google’ın vizyonu, bu ekosistemlerden başlayarak ancak daha geniş OSS kapsamı hedefleyen, güvenlik puan kartı ve kayıt defterine özgü özellikler gibi topluluk odaklı güvenlik çabalarını geliştiren gelişen bir platform olarak OSS yeniden inşa ediyor.
Tedarik zinciri şeffaflığını demokratikleştirerek, proje sadece riskleri azaltmakla kalmaz, aynı zamanda işbirlikçi iyileştirmeleri de teşvik eder ve OSS’nin katkıda bulunanlara gereksiz yükler uygulamadan küresel yazılım geliştirmenin güvenilir bir direği olmasını sağlar.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now