Google ha annunciato il lancio di OSS Rebuild, una nuova iniziativa dedicata a rafforzare la sicurezza dell’ecosistema dei pacchetti open source e a contrastare gli attacchi alla supply chain del software. OSS Rebuild nasce in risposta all’aumento degli attacchi che prendono di mira dipendenze largamente utilizzate, offrendo ai team di sicurezza dati affidabili per prevenire compromissioni senza gravare sui manutentori dei pacchetti a monte.

Funzionamento e ambito di OSS Rebuild

Il progetto si focalizza attualmente sui principali registri di pacchetti come Python Package Index (PyPI), npm (JavaScript e TypeScript) e Crates.io (Rust), con l’obiettivo futuro di estendere la copertura ad altre piattaforme di sviluppo software open source. Il funzionamento di OSS Rebuild si basa su una combinazione di definizioni di build dichiarative, strumentazione del processo di build e monitoraggio della rete. Questo permette di generare metadati di sicurezza affidabili, utili per validare la provenienza dei pacchetti e assicurare che non siano stati alterati.

Processo di rebuild e verifiche di sicurezza

Attraverso l’automazione e l’utilizzo di euristiche, OSS Rebuild è in grado di determinare una definizione di build per ciascun pacchetto e ricostruirlo. I risultati vengono poi confrontati semanticamente con l’artifact originale, normalizzando le differenze non significative (come la compressione degli archivi) che potrebbero far fallire un confronto bit a bit. Quando la ricostruzione automatica non è possibile, viene messa a disposizione una specifica di build manuale.

Pubblicazione dei risultati e benefici per la supply chain

I risultati dei rebuild vengono pubblicati tramite SLSA Provenance, un meccanismo di attestazione che permette agli utenti di verificare l’origine del pacchetto, replicare il processo di build e personalizzarlo partendo da una baseline affidabile. OSS Rebuild consente così di individuare varie tipologie di compromissioni nella supply chain, come pacchetti pubblicati con codice non presente nel repository sorgente pubblico, attività di build sospette o la presenza di percorsi di esecuzione insoliti e operazioni sospette difficili da rilevare manualmente.

Impatto sulla sicurezza e integrità dei pacchetti

Oltre a rendere più sicura la supply chain del software, questa soluzione contribuisce al miglioramento della Software Bill of Materials (SBOM), accelera la risposta alle vulnerabilità, rafforza la fiducia nei pacchetti utilizzati e riduce la necessità di affidarsi ai sistemi CI/CD per la sicurezza dei pacchetti. I rebuild vengono derivati dall’analisi dei metadati pubblicati e degli artifact, e, se il processo ha esito positivo, viene pubblicata una attestazione che certifica l’integrità del pacchetto a monte, eliminando così molte possibili fonti di compromissione.