Google ha anunciado el emanación de una nueva iniciativa señal OSS reconstruye Para alentar la seguridad de los ecosistemas de paquetes de código rajado y evitar ataques de cautiverio de suministro de software.
“A medida que los ataques de la cautiverio de suministro continúan dirigiéndose a dependencias ampliamente utilizadas, OSS Rebuild brinda a los equipos de seguridad datos poderosos para evitar compromisos sin carga de los mantenedores ascendentes”, dijo Matthew Suozzo, equipo de seguridad de código rajado de Google (Gosst), en una publicación de blog esta semana.
El tesina tiene como objetivo proporcionar la procedencia de compilación para los paquetes en los registros de paquetes de paquetes de Python (Python), NPM (JS/TS) y CRATES.IO (Rust), con planes de extenderlo a otras plataformas de incremento de software de código rajado.
Con OSS Rebuild, la idea es rendir una combinación de definiciones de compilación declarativas, instrumentación de compilación y capacidades de monitoreo de red para producir metadatos de seguridad confiables, que luego se pueden utilizar para validar el origen del paquete y comprobar de que no se haya afectado.
“A través de la automatización y la heurística, determinamos una definición de compilación prospectiva para un paquete objetivo y reconstruimos”, dijo Google. “Comparamos semánticamente el resultado con el artefacto aguas en lo alto existente, normalizando cada uno para eliminar las inestabilidades que causan que las comparaciones de bits para bits fallaran (por ejemplo, compresión de archivo)”.
Una vez que se reproduce el paquete, la definición y el resultado de compilación se publica a través de la procedencia de SLSA como un mecanismo de certificación que permite a los usuarios repasar de guisa confiable su origen, repetir el proceso de compilación e incluso personalizar la compilación desde una columna de saco sencillo conocida.
En escenarios en los que la automatización no puede reproducir completamente el paquete, OSS Rebuild ofrece una explicación de construcción manual que se puede usar.
OSS Rebuild, señaló el coloso tecnológico, puede ayudar a detectar diferentes categorías de compromisos de la cautiverio de suministro, incluidos –
- Paquetes publicados que contienen código no presente en el repositorio de fuente pública (por ejemplo, @solana/web3.js)
- Actividad de construcción sospechosa (p. Ej., TJ-Actions/Cambied-Files)
- Rutas de ejecución inusuales o operaciones sospechosas integradas en el interior de un paquete que son difíciles de identificar a través de la revisión manual (por ejemplo, XZ Utils)
Por otra parte de afianzar la cautiverio de suministro de software, la posibilidad puede mejorar las facturas de software de materiales (SBOMS), acelerar la respuesta de vulnerabilidad, acorazar la confianza de los paquetes y eliminar la obligación de que las plataformas CI/CD estén a cargo de la seguridad del paquete de una ordenamiento.
“Las reconstrucciones se derivan analizando los metadatos y los artefactos publicados y se evalúan con las versiones de los paquetes aguas en lo alto”, dijo Google. “Cuando exitosos, se publican certificaciones de construcción para los artefactos aguas en lo alto, verificando la integridad del artefacto aguas en lo alto y eliminando muchas posibles fuentes de compromiso”.
