Google、オープンソース供給チェーン強化のため「OSS Rebuild」を発表

Googleは、オープンソースソフトウェアにおける供給チェーン攻撃を検出するための新しいプロジェクト「OSS Rebuild」を発表しました。このプロジェクトは、主要なリポジトリにおけるパッケージのビルドを独立して再現し、検証することにより、サプライチェーン攻撃を特定することを目的としています。

Googleのオープンソースセキュリティチームが発表したこのイニシアティブは、PyPI（Python）、npm（JavaScript/TypeScript）、Crates.io（Rust）パッケージをターゲットにしています。

OSS Rebuildは、標準化されたビルド環境を自動的に作成し、パッケージを再ビルドして公開されたバージョンと比較します。このシステムは、SLSA Provenance認証を数千のパッケージに対して生成し、発行者の介入なしでSLSA Build Level 3の要件を満たします。

さらに、このプロジェクトは次の3つのクラスの妥協を特定できます：公開リポジトリに存在しないソースコードの未提出、ビルド環境の改ざん、およびビルド中に異常な実行パターンを示す高度なバックドア攻撃。