热点:

    谷歌推OSS Rebuild强化开源安全

      [  中关村在线 原创  ]   作者:薄荷糖的夏天

    谷歌推OSS Rebuild强化开源安全

    7月22日,为增强开源项目的安全防护能力,谷歌推出一项名为OSS Rebuild的新工具。该工具允许开发者通过重建构建过程来验证开源软件包的完整性,有效防范开源供应链被恶意篡改的风险。

    开源软件如今已深度融入数字基础设施,广泛应用于关键系统和日常软件中。统计显示,现代应用程序中约77%的组件来自开源项目。其整体经济价值估计超过12万亿美元,成为全球数字经济不可或缺的一部分。

    然而,开源软件的广泛应用也使其成为网络攻击的高风险目标。一旦攻击者对某个被广泛依赖的开源组件植入恶意代码,便可能波及大量下游应用,造成大范围安全威胁。

    OSS Rebuild的推出旨在应对这一挑战。该工具可在无需项目维护者额外参与的情况下,自动生成符合SLSA软件供应链Build Level 3标准的构建记录,为软件组件的构建过程提供可验证的审计依据。

    该项目主要服务于安全团队和开源项目维护者。安全团队可通过该工具识别未公开的源代码变更、发现构建环境是否遭入侵,并检测潜在的隐蔽后门。同时,OSS Rebuild还完善了软件元数据,补充了软件物料清单信息,并有助于加快对安全漏洞的响应速度。

    目前,该项目已支持PyPI(Python)、npm(JS/TS)和Createsio(Rust)三大生态,未来计划扩展至更多平台。用户可通过命令行工具访问该项目,查询软件来源、查看重建版本并获取重建后的软件包。

    本文属于原创文章,如若转载,请注明来源:谷歌推OSS Rebuild强化开源安全https://news.zol.com.cn/1018/10184277.html

    news.zol.com.cn true https://news.zol.com.cn/1018/10184277.html report 1085 7月22日,为增强开源项目的安全防护能力,谷歌推出一项名为OSS Rebuild的新工具。该工具允许开发者通过重建构建过程来验证开源软件包的完整性,有效防范开源供应链被恶意篡改的风险。开源软件如今已深度融入数字基础设施,广泛应用于关键系统和日常软件中。统计显示,现...
    • 猜你喜欢
    • 最新
    • 精选
    • 相关
    推荐问答
    提问
    0

    下载ZOL APP
    秒看最新热品

    内容纠错