O Google anunciou o lançamento de uma nova iniciativa chamada OSS Rebuild para reforçar a segurança dos ecossistemas de pacotes de código aberto e prevenir ataques à cadeia de fornecimento de software.
"À medida que os ataques à cadeia de fornecimento continuam a mirar dependências amplamente utilizadas, o OSS Rebuild oferece às equipes de segurança dados poderosos para evitar comprometimentos sem sobrecarregar os mantenedores upstream," afirmou Matthew Suozzo, da Equipe de Segurança de Código Aberto do Google (GOSST), em uma postagem de blog esta semana.
O projeto visa fornecer proveniência de construção para pacotes dos registros de pacotes Python Package Index (Python), npm (JS/TS) e Crates.io (Rust), com planos de estendê-lo a outras plataformas de desenvolvimento de software de código aberto.
Com o OSS Rebuild, a ideia é aproveitar uma combinação de definições de construção declarativas, instrumentação de construção e capacidades de monitoramento de rede para produzir metadados de segurança confiáveis, que podem então ser usados para validar a origem do pacote e garantir que ele não tenha sido adulterado.
"Através de automação e heurísticas, determinamos uma definição de construção prospectiva para um pacote-alvo e o reconstruímos," disse o Google.
Comparamos semanticamente o resultado com o artefato upstream existente, normalizando cada um para remover instabilidades que fazem com que comparações bit-a-bit falhem (por exemplo, compressão de arquivo).
Uma vez que o pacote é reproduzido, a definição de construção e o resultado são publicados via SLSA Provenance como um mecanismo de atestação que permite aos usuários verificar de maneira confiável sua origem, repetir o processo de construção e até personalizar a construção a partir de uma linha de base conhecida e funcional.
Em cenários onde a automação não é capaz de reproduzir completamente o pacote, o OSS Rebuild oferece uma especificação de construção manual que pode ser usada em seu lugar.
O OSS Rebuild, observou o gigante da tecnologia, pode ajudar a detectar diferentes categorias de comprometimentos da cadeia de fornecimento, incluindo:
- Pacotes publicados que contêm códigos não presentes no repositório público de fontes (por exemplo, @solana/web3.js)
- Atividade de construção suspeita (por exemplo, tj-actions/changed-files)
- Caminhos de execução incomuns ou operações suspeitas embutidas em um pacote que são difíceis de identificar por meio de revisão manual (por exemplo, XZ Utils)
Além de proteger a cadeia de fornecimento de software, a solução pode melhorar as Facturas de Materiais de Software (SBOMs), acelerar a resposta a vulnerabilidades, fortalecer a confiança no pacote e eliminar a necessidade de plataformas CI/CD estarem encarregadas da segurança de pacotes de uma organização.
"Reconstruções são derivadas analisando os metadados publicados e os artefatos e são avaliadas em relação às versões de pacotes upstream," disse o Google.
Quando bem-sucedidas, atestações de construção são publicadas para os artefatos upstream, verificando a integridade do artefato upstream e eliminando muitas possíveis fontes de comprometimento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...