{"id":13827,"date":"2025-07-22T18:57:47","date_gmt":"2025-07-22T18:57:47","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/07\/22\/google-praesentiert-oss-rebuild-ein-neues-system-zur-staerkung-der-sicherheit-und-transparenz-von-open-source-software\/"},"modified":"2025-07-23T20:12:24","modified_gmt":"2025-07-23T20:12:24","slug":"google-praesentiert-oss-rebuild-ein-neues-system-zur-staerkung-der-sicherheit-und-transparenz-von-open-source-software","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=13827","title":{"rendered":"OSS Rebuild: Ein neues System zur St\u00e4rkung der Sicherheit und Transparenz von Open-Source-Software"},"content":{"rendered":"<p>Google hat mit OSS Rebuild ein neues System vorgestellt, das die Transparenz und Sicherheit von Open-Source-Software st\u00e4rken soll. Immer mehr Software setzt auf vorgefertigte Komponenten und Bibliotheken aus Repositories wie PyPI, was gleichzeitig neue Sicherheitsrisiken birgt. Kriminelle Akteure haben in der Vergangenheit wiederholt versucht, manipulierte oder kompromittierte Komponenten in diese vorgefertigten Bausteine einzuschleusen. Um dieser Bedrohung zu begegnen, entwickelt Google OSS Rebuild, das die Herkunft und Integrit\u00e4t von Open-Source-Paketen nachvollziehbar macht. Das Herzst\u00fcck des Systems bildet eine automatische Generierung von Build-Definitionen f\u00fcr ben\u00f6tigte Komponenten. Dabei greift Google auf k\u00fcnstliche Intelligenz und Heuristiken zur\u00fcck, um m\u00f6glichst genaue Nachbildungen der urspr\u00fcnglichen Build-Prozesse zu erschaffen. Falls eine vollst\u00e4ndige Reproduktion nicht m\u00f6glich ist, bietet Google manuelle Build-Definitionen an. Mithilfe dieser Definitionen baut OSS Rebuild die Komponente neu auf und vergleicht das Ergebnis mit dem Original aus dem jeweiligen Repository. Dieser Vergleich gelingt jedoch nicht immer, da Komprimierungsverfahren und andere Techniken Einfluss auf die Bitgenauigkeit haben k\u00f6nnen. Daher eliminiert OSS Rebuild zun\u00e4chst solche Instabilit\u00e4ten, um einen pr\u00e4zisen Vergleich zu erm\u00f6glichen. Der Herkunftsnachweis der reproduzierten Komponenten wird mithilfe der SLSA-Spezifikation (Supply-chain Levels for Software Artifacts) erstellt. Diese Standardisierung erm\u00f6glicht eine schnelle Identifizierung von Code, der nicht im urspr\u00fcnglichen Repository vorhanden ist und somit verd\u00e4chtig sein k\u00f6nnte. Neben dem Herkunftsnachweis implementiert OSS Rebuild minimale Build-Umgebungen, die kontinuierlich \u00fcberwacht werden. In diesen Umgebungen erkennt das System verd\u00e4chtige Aktivit\u00e4ten w\u00e4hrend des Build-Prozesses und kann sogar versteckte Hintert\u00fcren wie jene, die in der Vergangenheit in XZ aufgetaucht sind, aufdecken.  Zu Beginn unterst\u00fctzt OSS Rebuild PyPI-, NPM- und Crates.io-Pakete, womit Python, JavaScript, TypeScript und Rust abgedeckt sind. Der gesamte Quellcode und detaillierte Anleitungen sind \u00f6ffentlich zug\u00e4nglich.<\/p>\n<p>Schlagw\u00f6rter: Google OSS Rebuild + Google + OSS<br \/>(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google hat mit OSS Rebuild ein neues System vorgestellt, das die Transparenz und Sicherheit von Open-Source-Software st\u00e4rken soll. Immer mehr Software setzt auf vorgefertigte Komponenten und Bibliotheken aus Repositories wie PyPI, was gleichzeitig neue Sicherheitsrisiken birgt. Kriminelle Akteure haben in der Vergangenheit wiederholt versucht, manipulierte oder kompromittierte Komponenten in diese&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":13826,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13827","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13827"}],"version-history":[{"count":3,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13827\/revisions"}],"predecessor-version":[{"id":13848,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13827\/revisions\/13848"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13826"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}