Google ha anunciado el lanzamiento de una nueva iniciativa llamada OSS Rebuild
para reforzar la seguridad de los ecosistemas de paquetes de código abierto y
evitar ataques de cadena de suministro de software.
«A medida que los ataques de la cadena de suministro continúan dirigiéndose
a dependencias ampliamente utilizadas, OSS Rebuild brinda a los equipos de
seguridad datos poderosos para evitar compromisos sin carga de los
mantenedores ascendentes»,
dijo Matthew Suozzo, equipo de seguridad de código abierto de Google (GOSST), en una publicación
de blog esta semana.
El proyecto tiene como objetivo proporcionar la procedencia de compilación
para los paquetes en los registros de Python, NPM (JS/TS) y CRATES.IO (Rust),
con planes de extenderlo a otras plataformas de desarrollo de software de
código abierto.
Con OSS Rebuild, la idea es aprovechar una combinación de definiciones de
compilación declarativas, instrumentación de compilación y capacidades de
monitoreo de red para producir metadatos de seguridad confiables, que luego se
pueden utilizar para validar el origen del paquete y asegurarse de que no se
haya alterado.
«A través de la automatización y la heurística, determinamos una definición
de compilación prospectiva para un paquete objetivo y reconstruimos.
Comparamos semánticamente el resultado con el artefacto aguas arriba, normalizando cada uno para eliminar las inestabilidades que
causan que las comparaciones de bits para bits fallaran (por ejemplo,
compresión de archivo)».
Una vez que se reproduce el paquete, la definición y el resultado de
compilación se publica a través de la
procedencia de SLSA
como un mecanismo de certificación que permite a los usuarios verificar de
manera confiable su origen, repetir el proceso de compilación e incluso
personalizar la compilación desde una línea de base funcional conocida.
En escenarios en los que la automatización no puede reproducir completamente
el paquete, OSS Rebuild ofrece una especificación de construcción manual que
se puede usar.
OSS Rebuild puede ayudar a detectar diferentes categorías de compromisos de la
cadena de suministro, incluidos:
-
Paquetes publicados que contienen código no presente en el repositorio de
fuente pública (por ejemplo,
@solana/web3.js) -
Actividad de construcción sospechosa (por ejemplo,
TJ-Actions/Cambied-Files) -
Rutas de ejecución inusuales o operaciones sospechosas integradas dentro de
un paquete que son difíciles de identificar a través de la revisión manual
(por ejemplo,
XZ Utils)
Además de asegurar la cadena de suministro de software, la solución puede
mejorar el invesntario de actibos (SBOMs), acelerar la respuesta a las
vulnerabilidad, fortalecer la confianza de los paquetes y eliminar la
necesidad de que las plataformas CI/CD estén a cargo de la seguridad del
paquete de una organización.
Fuente:
THN