Google introduceert OSS Rebuild. Het is een project dat de integriteit van open source-pakketten versterkt door ze automatisch opnieuw op te bouwen en te verifiëren. Dit moet supply chain-aanvallen voorkomen.
Open source-software vormt inmiddels het fundament van de digitale wereld. Van cloudinfrastructuur tot mobiele apps, het overgrote deel van moderne software bevat open componenten. De waarde van dit ecosysteem wordt geschat op meer dan twaalf biljoen dollar. Juist die centrale rol maakt het een aantrekkelijk doelwit.
Aanvallen op veelgebruikte pakketten schaden het vertrouwen van zowel ontwikkelaars als gebruikers. Hoewel er al initiatieven zijn zoals Security Scorecard en ondersteuning voor SLSA (Supply-chain Levels for Software Artifacts) bij npm en PyPI, blijkt dat elk initiatief slechts een deel van het probleem adresseert.
Transparantie in de supply chain vergroten
Met OSS Rebuild wil Google de transparantie in de software supply chain vergroten. Het platform maakt gebruik van declaratieve builds, instrumentatie en netwerkmonitoring, waardoor het binnen het SLSA-raamwerk gedetailleerde en betrouwbare metadata kan genereren. Gebaseerd op het model van OSS-Fuzz biedt OSS Rebuild nu ondersteuning voor pakketten in de ecosystemen van PyPI, npm en Crates.io. Hiermee wordt rebuild-provenance geleverd voor veelgebruikte pakketten, met als doel het proces in de toekomst uit te breiden naar meer talen en platformen.
Het systeem werkt door automatisch een build-definitie te genereren voor een pakket en dit opnieuw op te bouwen. Het resultaat wordt vervolgens semantisch vergeleken met het originele build resultaat, waarbij verschillen die ontstaan door bijvoorbeeld compressie, worden genormaliseerd. Als het buildproces succesvol wordt gereproduceerd, worden de bijbehorende gegevens gepubliceerd via SLSA Provenance. Zo kunnen gebruikers verifiëren of een pakket overeenkomt met zijn bron, het buildproces herhalen of aanpassen, en gedetailleerdere SBOMs genereren.
AI inzetten om buildprocessen te begrijpen
Dankzij de bestaande automatisering kunnen veel pakketten direct profiteren van deze bescherming. Waar dat niet mogelijk is, biedt OSS Rebuild ondersteuning voor handmatige specificaties. Zo kunnen individuele bijdragers alsnog het verschil maken. Daarnaast onderzoekt Google de inzet van AI om buildprocessen te begrijpen en automatiseren, zelfs bij complexe software die slechts summier is gedocumenteerd.
OSS Rebuild helpt bij het detecteren van verschillende typen supply chain-compromittering, waaronder het toevoegen van ongepubliceerde code, manipulatie van de buildomgeving en het insluizen van achterdeurtjes. Aanvallen zoals bij solana/webjs, tj-actions/changed-files en xz-utils tonen aan hoe kwetsbaar bestaande processen kunnen zijn. Door herbouw en analyse van gedrag tijdens builds kunnen deze dreigingen sneller en betrouwbaarder worden opgespoord.
Lees ook: Linux Foundation richt stichting voor open source security op