Google, yeni bir girişimin başlatıldığını duyurdu OSS yeniden inşa Açık kaynaklı paket ekosistemlerinin güvenliğini desteklemek ve yazılım tedarik zinciri saldırılarını önlemek.
Google Açık Kaynak Güvenlik Ekibi (GOSST) Matthew Suozzo, bu hafta bir blog yazısında, “Tedarik zinciri saldırıları yaygın olarak kullanılan bağımlılıkları hedeflemeye devam ettikçe, OSS Rebuild, yukarı akış bakımcılarına yük olmadan uzlaşmadan ödün vermeden kaçınmak için güvenlik ekiplerine güçlü veriler veriyor.” Dedi.
Proje, Python Paket Endeksi (Python), NPM (JS/TS) ve Crates.io (Rust) paket kayıtlarını, diğer açık kaynaklı yazılım geliştirme platformlarına genişletme planları için yapı provenansı sağlamayı amaçlamaktadır.
OSS yeniden inşası ile fikir, daha sonra paketin kökenini doğrulamak ve kurcalanmadığından emin olmak için kullanılabilen güvenilir güvenlik meta verilerini üretmek için bildirici yapı tanımlarının, oluşturma enstrümantasyonunun ve ağ izleme özelliklerinin bir kombinasyonundan yararlanmaktır.
Google, “Otomasyon ve sezgisel tarama yoluyla, bir hedef paket için olası bir yapı tanımı belirliyoruz ve yeniden inşa ediyoruz.” Dedi. Diyerek şöyle devam etti: “Sonucu anlamsal olarak mevcut yukarı akış artefaktı ile karşılaştırıyoruz, her birini bit için bit karşılaştırmalarının başarısız olmasına neden olan kararsızlıkları kaldıracak şekilde normalleştiriyoruz (örneğin, arşiv sıkıştırma).”
Paket yeniden üretildikten sonra, yapı tanımı ve sonuç, SLSA Provenence aracılığıyla kullanıcıların kökeni güvenilir bir şekilde doğrulamasına, oluşturma işlemini tekrarlamasına ve hatta yapıyı bilinen bir fonksiyonel tabandan özelleştirmesine olanak tanıyan bir kanıtlama mekanizması olarak yayınlanır.
Otomasyonun paketi tam olarak çoğaltamadığı senaryolarda OSS REBUID, bunun yerine kullanılabilecek manuel bir yapı spesifikasyonu sunar.
Teknoloji devi, OSS Rebuild, – dahil olmak üzere farklı tedarik zinciri uzlaşma kategorilerini tespit etmeye yardımcı olabilir –
- Kamu kaynak deposunda bulunmayan kod içeren yayınlanmış paketler (örneğin, @solana/web3.js)
- Şüpheli Yapı Etkinliği (örn. TJ-Actions/Değişen Dosyalar)
- Manuel inceleme yoluyla tanımlanması zor olan bir pakete gömülü olağandışı yürütme yolları veya şüpheli işlemler (örn., XZ UTILS)
Yazılım tedarik zincirini güvence altına almanın yanı sıra, çözüm yazılım faturalarını (SBOM) iyileştirebilir, güvenlik açığı tepkisini hızlandırabilir, paket güvenini güçlendirebilir ve CI/CD platformlarının bir kuruluşun paket güvenliğinden sorumlu olma ihtiyacını ortadan kaldırabilir.
Google, “Yeniden oluşturmalar, yayınlanmış meta verileri ve eserleri analiz edilerek elde edilir ve yukarı akış paket sürümlerine karşı değerlendirilir.” Dedi. “Başarılı olduğunda, yukarı akış eserleri için yapı onaylamaları yayınlanır, yukarı akış eserinin bütünlüğünü doğrulayarak ve birçok olası uzlaşma kaynağını ortadan kaldırır.”