▲
- O Google lançou o OSS Rebuild, ferramenta que verifica a integridade de pacotes de software open source.
- Ela permite que desenvolvedores e equipes de segurança controlem e verificam a confiabilidade do código.
- Essa iniciativa fortalece a proteção contra ataques na cadeia de suprimentos, aumentando a confiança em projetos open source.
- O OSS Rebuild melhora a segurança e a transparência de pacotes utilizados por diversas comunidades de desenvolvimento.
O software open source forma a base de grande parte da infraestrutura digital atual. Por estar tão presente, ele se torna um alvo frequente para ataques na cadeia de suprimentos. Para combater essa ameaça, o Google apresentou o OSS Rebuild do Google, uma iniciativa focada em aumentar a segurança e a confiabilidade de projetos abertos.
A Relevância do Open Source e Seus Desafios
O software open source é vastamente utilizado, compondo cerca de 77% das aplicações digitais. Essa popularidade o torna a espinha dorsal de infraestruturas modernas e seu valor supera os 12 trilhões de dólares. É uma parte fundamental do cenário tecnológico atual.
Apesar de seu alcance, a natureza aberta do software open source o torna um alvo. Ataques sofisticados à cadeia de suprimentos, onde códigos maliciosos são inseridos em componentes confiáveis, podem minar a confiança de desenvolvedores e usuários. Isso causa hesitação na adoção e manutenção de projetos.
Houve casos notáveis que ilustram esses riscos. No ataque a solana/webjs, um backdoor foi adicionado por meio de uma conta npm comprometida, levando ao roubo de chaves privadas de criptoativos. O tj-actions/changed-files teve um GitHub Action comprometido que vazou segredos, e o xz-utils foi infectado por um backdoor sofisticado que concedia acesso remoto a agentes maliciosos.
A segurança digital é um desafio contínuo que exige atenção constante. Para entender mais sobre a importância de proteger dados e sistemas, as lições da interrupção na CrowdStrike para a segurança digital oferecem uma perspectiva valiosa sobre vulnerabilidades e prevenção. Manter-se atualizado com as melhores práticas é crucial para desenvolvedores e usuários.
A Iniciativa do Google para Mais Segurança
Para fortalecer a segurança em projetos open source, o Google lançou o OSS Rebuild. Essa ferramenta permite que desenvolvedores verifiquem a integridade de pacotes de software open source. A verificação ocorre por meio da reprodução de suas construções, garantindo que o resultado seja idêntico ao esperado.
O Google explicou que o OSS Rebuild gera os requisitos do SLSA Build Level 3 (Supply-chain Levels for Software Artifacts) de forma automática. Isso significa que é criado um registro verificável de como um artefato de software foi construído, sem a necessidade de intervenção extra dos mantenedores.
O objetivo do projeto é dar à comunidade de segurança a capacidade de entender e controlar profundamente suas cadeias de suprimentos. A ideia é tornar o consumo de pacotes tão transparente quanto usar um repositório de código fonte. Essa clareza é um passo fundamental para construir e manter a confiança.
Essa abordagem permite que as equipes de segurança detectem códigos-fonte não enviados ou comprometimentos no ambiente de construção. Isso também ajuda a identificar backdoors ocultos que poderiam passar despercebidos. Além disso, o OSS Rebuild aprimora metadados e acelera a resposta a vulnerabilidades encontradas.
Benefícios para Equipes e Ecossistemas de Desenvolvimento
As equipes de segurança se beneficiam da capacidade de detectar códigos-fonte alterados. Elas podem identificar comprometimentos no ambiente de construção e localizar backdoors discretos. Isso oferece uma camada extra de proteção contra ameaças maliciosas.
O OSS Rebuild também aprimora os metadados associados ao software. Ele aumenta a eficácia das Listas de Materiais de Software (Software Bills of Materials – SBOMs), tornando-as mais robustas. Essa melhoria permite uma resposta mais rápida e eficiente a qualquer vulnerabilidade que possa surgir.
Para os mantenedores de projetos open source, o OSS Rebuild fortalece a confiança em seus pacotes. A verificação independente do processo de construção oferece uma prova de integridade. É possível até mesmo aplicar atestados de integridade a pacotes históricos, garantindo a segurança de versões antigas do software.
A ferramenta inicialmente oferece suporte a ecossistemas como PyPI (Python), npm (JS/TS) e Createsio (Rust). O Google planeja expandir esse suporte para mais ecossistemas no futuro. Usuários podem interagir com o projeto por meio da linha de comando para buscar proveniência, explorar versões reconstruídas e recriar pacotes.
O lançamento do OSS Rebuild demonstra o compromisso do Google com a segurança do ecossistema open source. A ferramenta visa criar um ambiente digital mais seguro e transparente. Iniciativas como essa são essenciais para construir um futuro onde a integridade do software seja consistentemente verificável, beneficiando toda a comunidade de desenvolvimento. Para mais informações sobre as tendências do setor, você pode conferir o Resumo das principais notícias de tecnologia e segurança digital.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via Neowin
