谷歌发布“OSS Rebuild”应对开源软件供应链安全问题

为应对开源软件供应链安全问题，谷歌宣布推出 OSS Rebuild 开源工具，帮助开发者通过重现构建过程验证开源软件包的完整性，防范恶意篡改风险。

公告写道：

开源软件已成为我们数字世界的基础。从关键基础设施到日常应用，OSS 组件现在占现代应用的 77%。据估计，其价值超过 12 万亿美元，开源软件从未如此成为全球经济的重要组成部分。

OSS Rebuild 是一个通过重现上游软件构建过程来增强对开源软件包生态系统信任的新项目。随着供应链攻击继续针对广泛使用的依赖项，OSS Rebuild 为安全团队提供了强大的数据，以避免妥协，同时不对上游维护者造成负担。

OSS Rebuild 可自动生成符合 SLSA Build Level 3 标准的可验证记录，无需维护者额外投入。该工具能帮助安全团队检测未经验证的代码、被入侵的构建环境及潜在后门，同时增强元数据并优化漏洞响应效率。

目前，OSS Rebuild 支持 PyPI、npm 和 Crates.io 生态，未来将扩展至更多平台。开发者可通过命令行获取构建来源信息并验证软件包。