Google anuncia ferramenta para reforçar segurança da cadeia de suprimentos em projetos open-source

O OSS Rebuild permite que desenvolvedores verifiquem a integridade do código-fonte de projetos open-source por meio da reprodução das compilações.

A ferramenta gera requisitos de nível 3 da SLSA (Supply-chain Levels for Software Artifacts) para artefatos de software, sem a necessidade de intervenção do mantenedor, oferecendo um registro verificável de como o artefato foi criado. O nível 3 da SLSA exige que todo o processo de compilação seja totalmente automatizado e executado em um ambiente seguro, minimizando o risco de manipulação humana maliciosa.

Com o OSS Rebuild, é possível detectar código-fonte não submetido, comprometimentos no ambiente de build e backdoors ocultos.

A ferramenta já oferece suporte inicial aos ecossistemas PyPI (Python), npm (JavaScript/TypeScript) e Crates.io (Rust), com planos de expansão para outras plataformas. Ela pode ser utilizada por meio da linha de comando.