Google釋出OSS Rebuild確保開源套件安全

Google本周釋出OSS Rebuild以協助開發人員確保開源套件的安全性，免於供應鏈攻擊。目前已支援PyPI、npm和Crates.io套件。

Google指出，開源軟體已成現代應用開發的重要工具，然而開源工具普及使用也使其成為新的攻擊目標，像是透過感染眾多人使用的套件進行供應鏈攻擊。開源社群也分別發展出安全工具，如OpenSSF推出的安全檢查工具Security Scorecard、PyPI的Trusted Publisher和npm原生支援由OpenSSF主導的SLSA（Supply-chain Levels for Software Artifacts）框架等。但是這些計畫都只解決一部份問題，使專案工作負擔落在接手的出版者或維護者身上。

因此Google推出了OSS Rebuild，其宗旨為在SLSA Build框架中利用宣告式建構流程（declarative build）、建構儀表監控（build instrumentation）、網路行為監控（network monitoring）產生可微調、可信賴的安全metadata，藉此提升供應鏈的透明度及安全性。

OSS Rebuild包括四個部份。自動建構定義、SLSA Provenance證明、建構驗證工具及可自行架設的基礎架構。技術層面而言，OSS Rebuild透過自動化與啟發式（heuristics）技術重建開源套件並驗證其來源與建構方式，以便使用者驗證套件來源、瞭解其建構流程，並可基於可信版本進行自訂建構或產生更詳細的SBOM（軟體物料清單）。

OSS Rebuild延續Google先前OSS-Fuzz（記憶體漏洞偵測平臺）工具使用的代管基礎架構模式，差別在OSS旨在用於開源專案自動化記憶體錯誤偵測，而OSS Rebuild目的是解決開源軟體供應鏈的安全問題。

目前OSS Rebuild已支援PyPI（Python）、npm（JS/TS）和Crates.io（Rust）。其他套件目前無法完全自動重建，讓平臺允許社群手動提供建構規格。但Google表示其願景在擴及到更多套件的生態體系。

團隊也開始嘗試讓OSS Rebuild使用AI語言模型來自動解析這些文件、協助理解與重建，已證實在複雜專案中具可行性。

就安全效益而言，OSS Rebuild可協助偵測的供應鏈安全問題包括未出版的來源程式碼、Build環境的破壞、不易發現的後門程式。作為企業及安全部門的工具，OSS Rebuild可提升metadata、強化SBOM、加快漏洞回應。對出版及維護人員，這項工具則能提升套件的可信賴度及舊式套件的安全性，使其專注在開發工作本身。

目前最方便使用OSS Rebuild的方法是其提供的Go-based指令行工具。Google也邀請開發人員到GitHub試用。