Как Google защищает ваш любимый софт: разбираемся в новой технологии OSS Rebuild

Вы пользуетесь приложениями и программами каждый день, но знаете ли вы, что лежит в их основе? Оказывается, большая часть современного софта создана на базе открытого исходного кода — это как строительные блоки, из которых собираются сложные цифровые конструкции. И хотя такой подход делает технологии доступными и гибкими, он также создает риски.

Представьте, что кто-то подменил один из таких "строительных блоков" на бракованный или даже опасный. Это и есть атака на цепочку поставок, когда злоумышленники внедряют вредоносный код в доверенные компоненты. Подобные атаки могут серьезно подорвать доверие к разработчикам и пользователям.

Вспомним несколько громких случаев:

• Solana/webjs: злоумышленники украли криптографические ключи, добавив "черный ход" через скомпрометированную учетную запись npm.
• tj-actions/changed-files: утечка секретных данных из-за взломанного действия GitHub.
• xz-utils: сложнейший бэкдор, предоставивший хакерам удаленный доступ.

Чтобы защитить проекты с открытым исходным кодом от подобных угроз, Google представила OSS Rebuild — инструмент, который позволяет разработчикам проверять целостность пакетов, воспроизводя их сборки.

"Наша цель — предоставить сообществу безопасности возможность глубоко понимать и контролировать свои цепочки поставок, сделав использование пакетов таким же прозрачным, как и использование репозитория исходного кода", — заявляют в Google.

По сути, OSS Rebuild создает "цифровой паспорт" для каждого программного компонента, показывая, как он был создан. Это помогает убедиться, что в коде нет ничего лишнего и что ему можно доверять.

Кому это нужно? Преимущества OSS Rebuild

Команды безопасности получают возможность:

• Обнаруживать непредставленный исходный код.
• Выявлять компрометацию среды сборки.
• Находить скрытые бэкдоры (те самые "черные ходы").
• Улучшать метаданные и спецификации программного обеспечения.
• Быстрее реагировать на уязвимости.

Сопровождающие проектов (те, кто поддерживают и развивают открытый код) могут:

• Повысить доверие к своим пакетам благодаря независимой проверке.
• Модернизировать старые пакеты, добавив аттестации целостности.

OSS Rebuild изначально поддерживает три популярные экосистемы: PyPI (Python), npm (JS/TS) и Createsio (Rust). В будущем планируется добавить поддержку и других платформ. Пользоваться инструментом можно через командную строку, получая информацию о происхождении пакетов, исследуя перестроенные версии и перестраивая их самостоятельно.

Как это работает? Простыми словами

Представьте, что вы покупаете продукты в магазине. Обычно вы доверяете производителю и продавцу, но что, если есть сомнения? OSS Rebuild позволяет вам самостоятельно проверить, из чего сделан продукт, где он был произведен и кто его трогал. Это как если бы у вас была возможность заново собрать продукт из исходных ингредиентов, чтобы убедиться, что в нем нет ничего подозрительного.

Что это значит для нас?

В конечном итоге, OSS Rebuild делает мир программного обеспечения безопаснее для всех. Благодаря этому инструменту, разработчики и команды безопасности могут быть уверены в том, что используют только проверенный и надежный код. А это значит, что и мы, обычные пользователи, можем спокойно пользоваться любимыми приложениями и сервисами, не опасаясь стать жертвой кибератаки.

OSS Rebuild от Google — это важный шаг на пути к созданию безопасной экосистемы открытого исходного кода. Предоставляя разработчикам инструменты для проверки целостности программных пакетов, Google помогает укрепить доверие и снизить риск атак, связанных с вредоносным кодом.