本周,Google的开源安全团队宣布启动名为OSS Rebuild的新项目,旨在提升开源软件包生态系统的可信度,通过自动重建上游代码,强化供应链验证能力。据了解,OSS Rebuild实现了声明式构建定义自动生成、构建可观测性与验证工具、以及为企业提供部署和重新分发安全凭证的基础设施,初步支持PyPI(Python)、npm(JS/TS)、Crates.io(Rust)三大软件包仓库。
Google表示,OSS Rebuild可帮助检测未提交的源代码、构建环境被攻破、隐蔽后门等供应链攻击风险,将开源包的消费透明度提升到与源代码仓库相当的水平。安全团队借助该平台可以丰富包元数据、完善SBOM详情信息、加快漏洞响应和应急修补,且无需更换包仓库体系结构。
据介绍,OSS Rebuild采用标准最小化构建环境、集成网络监控及动态分析策略,即便是高级后门如xz事件,也能检测到异常构建行为,极大提升安全防护能力。Google强调,未来计划持续扩展支持更多生态系统,实现开源软件全链路的透明与安全。