谷歌发布“OSS Rebuild”应对开源软件供应链安全问题-低调大师

谷歌发布“OSS Rebuild”应对开源软件供应链安全问题

2025-07-23 120

为应对开源软件供应链安全问题，谷歌宣布推出 OSS Rebuild 开源工具，帮助开发者通过重现构建过程验证开源软件包的完整性，防范恶意篡改风险。

公告写道：

开源软件已成为我们数字世界的基础。从关键基础设施到日常应用，OSS 组件现在占现代应用的 77%。据估计，其价值超过 12 万亿美元，开源软件从未如此成为全球经济的重要组成部分。

OSS Rebuild 是一个通过重现上游软件构建过程来增强对开源软件包生态系统信任的新项目。随着供应链攻击继续针对广泛使用的依赖项，OSS Rebuild 为安全团队提供了强大的数据，以避免妥协，同时不对上游维护者造成负担。

OSS Rebuild 可自动生成符合 SLSA Build Level 3 标准的可验证记录，无需维护者额外投入。该工具能帮助安全团队检测未经验证的代码、被入侵的构建环境及潜在后门，同时增强元数据并优化漏洞响应效率。

目前，OSS Rebuild 支持 PyPI、npm 和 Crates.io 生态，未来将扩展至更多平台。开发者可通过命令行获取构建来源信息并验证软件包。

微信关注我们

原文链接：https://www.oschina.net/news/361977/google-oss-rebuild-open-source

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

欧盟考虑设立巨额基金来解决开源软件的“静默危机”

开源软件 (OSS) 的使用范围极其广泛。Google 最近表示，OSS 占软件总量的 77%，市值超过 12 万亿美元。尽管如此，OSS 的维护资金严重不足，许多项目依赖于无薪或报酬过低的独立维护人员，导致维护人员倦怠和安全风险。为此 Google发布了 OSS Rebuild 项目，试图解决这一问题，但 GitHub 希望获得欧盟主权科技基金 (EU-STF) 的更多资助。该基金不会用于所有的开源项目；它将用于缺乏专项资金的广泛使用的组件，以便它们能够获得持续的维护和安全。作为 GitHub 提案的一部分，其开发者政策团队委托了一项研究，以调查欧洲主权科技基金 (EU-STF)。这家微软旗下的公司表示，欧盟可以效仿德国主权科技机构，该机构在成立后的头两年内已成功向 60 个开源软件项目投资了超过 2300 万欧元。 GitHub 设想，欧盟标准与技术信托基金 (EU-STF) 将专注于识别关键依赖关系，并进行投资以确保持续维护、安全、改进以及强化更广泛的开源软件生态系统。如果您想知道这一切需要多少成本，GitHub 提议从欧盟即将到来的多年期预算（2028-2035 年）中至...

2025-07-23

116

谷歌为其 AI 服务 Gemini 进行了一系列更新，用户可直接选择 Imagen 模型生成图像，并启用了 llms.txt 文件，方便 AI Agent 获取最新的 API 和 SDK 使用方法。具体来说，用户现在可以在 Gemini 界面中直接看到并选择 Imagen 模型进行图像生成。此外，Google 在 GeminiAPI 文档网站ai.google.dev上启用了llms.txt文件。这是一个为 AI 模型和代码 Agent 设计的机器可读文档，遵循 MCP（Model-Consumable Patois）规范。开发者可以让其 AI Agent 通过访问ai.google.dev/gemini-api/docs/llms.txt来获取最新的 API 和 SDK 最佳实践，从而更高效地构建应用。该功能也可以通过 Gemini CLI 的扩展来使用。

2025-07-23

121

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。