谷歌推出OSS Rebuild项目 防止开源供应链被篡改

快速阅读: 相关媒体消息，谷歌推出OSS Rebuild工具，提升开源软件安全性。开发者可验证软件包完整性，防止供应链攻击。支持PyPI、npm等，未来将扩展更多生态。

据谷歌官方博客报道，7月22日，谷歌推出了一款名为OSS Rebuild的新工具，旨在提高开源项目的安全性。开发者可以利用这一工具通过重现构建过程来验证开源软件包的完整性，防止开源供应链遭受恶意攻击。

谷歌指出，开源软件已成为数字世界的基石，从关键基础设施到日常应用，开源软件组件占现代应用的77%，其价值超过12万亿美元。然而，开源软件的广泛应用也使其成为攻击者的靶标。例如，攻击者可能对广泛使用的开源组件进行“投毒”，进而影响大量依赖这些组件的软件。

OSS Rebuild 的推出无需开源项目维护者额外投入精力，即可满足 SLSA 软件供应链 Build Level 3 的要求，为开发者提供软件组件构建过程的可验证记录。该工具的主要优势包括：帮助安全团队检测未提交的源代码、发现构建环境被入侵及隐蔽的后门程序；增强元数据，补充软件物料清单；加快漏洞响应速度。

目前，OSS Rebuild 初步支持 PyPI（Python）、npm（JS / TS）和 Createsio（Rust），未来还将扩展至更多生态系统。用户可通过命令行使用该工具，获取来源信息、探索重建版本和重建包。

(以上内容均由AI生成)