El equipo de Seguridad de Código Abierto de Google ha anunciado el lanzamiento de 'OSS Rebuild', un nuevo proyecto destinado a fortalecer la confianza en los ecosistemas de paquetes de código abierto mediante la reproducción de artefactos upstream. Esta iniciativa busca brindar mayor transparencia y control sobre la cadena de suministro de software.
OSS Rebuild incluye automatización para derivar definiciones de construcción declarativas, nuevas herramientas de observabilidad y verificación de compilación para equipos de seguridad e incluso definiciones de infraestructura para ayudar a las organizaciones a reconstruir, firmar y distribuir la procedencia ejecutando sus propias instancias de OSS Rebuild. Como parte de la iniciativa, el equipo también ha publicado atestaciones SLSA Provenance para miles de paquetes en sus ecosistemas soportados, inicialmente PyPI (Python), npm (JS/TS), y Crates.io (Rust).
La plataforma OSS Rebuild utiliza un proceso de compilación declarativo, instrumentación de compilación y capacidades de monitoreo de red para producir metadatos de seguridad duraderos y confiables dentro del marco SLSA Build. Este proyecto ayuda a detectar código fuente no enviado (cuando los paquetes publicados contienen código que no está presente en el repositorio de código fuente público), compromisos del entorno de compilación (mediante la creación de entornos estandarizados y mínimos con monitoreo integral), y backdoors sigilosos (a través del análisis dinámico para detectar patrones de comportamiento anómalos durante las compilaciones).
Para empresas y profesionales de la seguridad, OSS Rebuild ofrece la posibilidad de mejorar los metadatos sin cambiar los registros, complementar las SBOM (Software Bills of Materials) añadiendo información detallada de observabilidad de la construcción, y acelerar la respuesta a vulnerabilidades proporcionando una vía para que los proveedores parcheen y re-hospeden los paquetes upstream utilizando definiciones de construcción verificables. La interfaz de línea de comandos basada en Go facilita el acceso a las atestaciones OSS Rebuild, permitiendo que la mayoría de los paquetes obtengan protección sin intervención del usuario o mantenedor.
Artículos relacionados de LaRebelión
- Investigadores Planearon en Secreto un Test para Atenuar la Luz Solar en un Area de 10000 km2
- Adios ChatGPT Guia Paso a Paso para Eliminar tu Cuenta Definitivamente
- ¿Problemas al Planificar tu Regreso a Casa? Google Maps Falla al Usar el Transporte Público
- ¡Adiós, Goo.gl! Google Desactivará su Acortador de URLs el Próximo Mes
- ¿Editar tus recuerdos de Google Fotos con CapCut? Una Integración Sorprendente
Artículo generado mediante LaRebelionBOT
