IT之家 7 月 22 日消息，為提升開源項目的安全性，谷歌今日推出了 ，開(kai)發者可利用該工具(ju)通過(guo)(guo)重現構建過(guo)(guo)程來驗證(zheng)開(kai)源軟件包的完整性，從而避(bi)免開(kai)源供應鏈“下毒(du)”情況。

谷歌介紹稱，開源軟(ruan)(ruan)件(jian)已成為(wei)數字世(shi)界的(de)基(ji)礎。從(cong)關鍵基(ji)礎設施到日常應(ying)用，開源軟(ruan)(ruan)件(jian)組(zu)件(jian)占現代應(ying)用的(de) 77%。據(ju)估計，其價值超過 12 萬億美元(yuan)(yuan)（IT之家注：現匯率約合 86.21 萬億元(yuan)(yuan)人民幣），開源軟(ruan)(ruan)件(jian)從(cong)未如此(ci)成為(wei)全球經濟的(de)重要組(zu)成部分(fen)。

然而，這種普遍性也使開源成(cheng)為攻擊(ji)者的目標，比如(ru)攻擊(ji)者針對某(mou)一廣泛使用(yong)的開源組件“投毒”，從(cong)而攻擊(ji)大量使用(yong)該開源組件的軟件。

谷歌表(biao)示(shi)，OSS Rebuild 無(wu)需(xu)維護者(zhe)投入精力(li)即可(ke)生成(cheng) SLSA 軟件供(gong)應鏈 Build Level 3 要求，從(cong)而為開發者(zhe)提供(gong)軟件組件構(gou)建過程的可(ke)驗證(zheng)記錄。

OSS Rebuild 項目具有多重優勢(shi)，主(zhu)要面向(xiang)安全(quan)團隊和(he)維護者。對于(yu)安全(quan)團隊而言，他們能夠(gou)檢測未提(ti)交(jiao)的源代碼、構(gou)建環境被入侵以(yi)及隱蔽(bi)的后門程序。OSS Rebuild 還(huan)增強了元數據(ju)，補充了軟件(jian)物料清單，并加(jia)速了漏洞響應。

IT之家從谷歌官方博客獲悉，該項目最初支持 PyPI（Python）、npm（JS / TS）和 Createsio（Rust），并計(ji)劃(hua)支持(chi)更多生態系統。用(yong)戶可以通(tong)過命令行使用(yong)該項目，以獲(huo)取來源信息、探索重建版(ban)本和(he)重建包。

廣(guang)告聲(sheng)明：文內(nei)含(han)有(you)的對(dui)外跳轉鏈接（包(bao)括(kuo)不(bu)限于超鏈接、二維碼、口令等形式），用(yong)于傳遞更多(duo)信(xin)息，節省甄選(xuan)時(shi)間，結果僅供參考，IT之家所有(you)文章(zhang)均包(bao)含(han)本(ben)聲(sheng)明。