Google lancia l’iniziativa OSS Rebuild per la sicurezza degli ecosistemi open-source
Google ha recentemente annunciato il lancio di una nuova iniziativa chiamata OSS Rebuild, progettata per rafforzare la sicurezza degli ecosistemi di pacchetti open-source e prevenire attacchi alla catena di fornitura del software. Secondo Matthew Suozzo del Google Open Source Security Team (GOSST), “OSS Rebuild offre ai team di sicurezza dati potenti per evitare compromessi senza gravare sui manutentori a monte”.
Il progetto mira a fornire la provenienza delle build per i pacchetti nei registri Python Package Index (Python), npm (JS/TS) e Crates.io (Rust), con piani per estenderlo ad altre piattaforme di sviluppo software open-source. L’idea alla base di OSS Rebuild è quella di sfruttare una combinazione di definizioni di build dichiarative, strumentazione di build e capacità di monitoraggio della rete per produrre metadati di sicurezza affidabili. Questi metadati possono essere utilizzati per convalidare l’origine del pacchetto e garantire che non sia stato manomesso.
Google ha spiegato che “attraverso l’automazione e l’uso di euristiche, determiniamo una definizione di build prospettica per un pacchetto target e lo ricostruiamo”. Il risultato viene confrontato semanticamente con l’artefatto a monte esistente, normalizzando ciascuno per rimuovere instabilità che causano il fallimento dei confronti bit per bit, come la compressione degli archivi.
Una volta riprodotto il pacchetto, la definizione di build e il risultato vengono pubblicati tramite SLSA Provenance come meccanismo di attestazione. Questo permette agli utenti di verificare in modo affidabile l’origine, ripetere il processo di build e persino personalizzare la build partendo da una base funzionale nota. In scenari in cui l’automazione non riesce a riprodurre completamente il pacchetto, OSS Rebuild offre una specifica di build manuale da utilizzare.
OSS Rebuild può aiutare a rilevare diverse categorie di compromessi della catena di fornitura, tra cui pacchetti pubblicati che contengono codice non presente nel repository sorgente pubblico, attività di build sospette e percorsi di esecuzione insoliti o operazioni sospette all’interno di un pacchetto difficili da identificare tramite revisione manuale.
Oltre a garantire la sicurezza della catena di fornitura del software, la soluzione può migliorare le Software Bills of Materials (SBOMs), accelerare la risposta alle vulnerabilità, rafforzare la fiducia nei pacchetti ed eliminare la necessità che le piattaforme CI/CD siano responsabili della sicurezza dei pacchetti di un’organizzazione.
Google ha dichiarato che “le ricostruzioni sono derivate analizzando i metadati e gli artefatti pubblicati e vengono valutate rispetto alle versioni dei pacchetti a monte”. Quando hanno successo, le attestazioni di build vengono pubblicate per gli artefatti a monte, verificando l’integrità dell’artefatto a monte ed eliminando molte possibili fonti di compromesso.
Fonte: The Hackers News
