OSS Rebuild: Ein neues System zur Stärkung der Sicherheit und Transparenz von Open-Source-Software
Google hat mit OSS Rebuild ein neues System vorgestellt, das die Transparenz und Sicherheit von Open-Source-Software stärken soll. Immer mehr Software setzt auf vorgefertigte Komponenten und Bibliotheken aus Repositories wie PyPI, was gleichzeitig neue Sicherheitsrisiken birgt. Kriminelle Akteure haben in der Vergangenheit wiederholt versucht, manipulierte oder kompromittierte Komponenten in diese vorgefertigten Bausteine einzuschleusen. Um dieser Bedrohung zu begegnen, entwickelt Google OSS Rebuild, das die Herkunft und Integrität von Open-Source-Paketen nachvollziehbar macht. Das Herzstück des Systems bildet eine automatische Generierung von Build-Definitionen für benötigte Komponenten. Dabei greift Google auf künstliche Intelligenz und Heuristiken zurück, um möglichst genaue Nachbildungen der ursprünglichen Build-Prozesse zu erschaffen. Falls eine vollständige Reproduktion nicht möglich ist, bietet Google manuelle Build-Definitionen an. Mithilfe dieser Definitionen baut OSS Rebuild die Komponente neu auf und vergleicht das Ergebnis mit dem Original aus dem jeweiligen Repository. Dieser Vergleich gelingt jedoch nicht immer, da Komprimierungsverfahren und andere Techniken Einfluss auf die Bitgenauigkeit haben können. Daher eliminiert OSS Rebuild zunächst solche Instabilitäten, um einen präzisen Vergleich zu ermöglichen. Der Herkunftsnachweis der reproduzierten Komponenten wird mithilfe der SLSA-Spezifikation (Supply-chain Levels for Software Artifacts) erstellt. Diese Standardisierung ermöglicht eine schnelle Identifizierung von Code, der nicht im ursprünglichen Repository vorhanden ist und somit verdächtig sein könnte. Neben dem Herkunftsnachweis implementiert OSS Rebuild minimale Build-Umgebungen, die kontinuierlich überwacht werden. In diesen Umgebungen erkennt das System verdächtige Aktivitäten während des Build-Prozesses und kann sogar versteckte Hintertüren wie jene, die in der Vergangenheit in XZ aufgetaucht sind, aufdecken. Zu Beginn unterstützt OSS Rebuild PyPI-, NPM- und Crates.io-Pakete, womit Python, JavaScript, TypeScript und Rust abgedeckt sind. Der gesamte Quellcode und detaillierte Anleitungen sind öffentlich zugänglich.
Schlagwörter: Google OSS Rebuild + Google + OSS
(pz)
