Google ha presentado una nueva iniciativa llamada OSS Rebuild, diseñada para mejorar la seguridad en los ecosistemas de software de código abierto y prevenir ataques en la cadena de suministro de software.

Con el aumento de ataques a la cadena de suministro que afectan dependencias muy utilizadas, OSS Rebuild ofrece a los equipos de seguridad datos valiosos para evitar compromisos sin cargar a los desarrolladores upstream con tareas adicionales. Esta iniciativa fue explicada en un blog por Matthew Suozzo, del Equipo de Seguridad de Código Abierto de Google (GOSST).

El proyecto OSS Rebuild se enfoca en generar pruebas verificables de construcción (build provenance) para paquetes de los principales repositorios como PyPI (Python), npm (JavaScript/TypeScript) y Crates.io (Rust), con planes de extenderse a otras plataformas de desarrollo de código abierto.

La base de OSS Rebuild es un sistema que combina definiciones declarativas de construcción, instrumentación del proceso de build y monitorización de red para producir metadatos de seguridad confiables. Estos metadatos permiten validar el origen del paquete y confirmar que no ha sido modificado o comprometido.

Google explicó que su sistema usa automatización y análisis heurístico para determinar una definición de build adecuada, reconstruir el paquete y luego realizar una comparación semántica con el artefacto original. Este proceso incluye normalizaciones para evitar falsos positivos causados por diferencias técnicas menores, como la compresión de archivos.

Cuando un paquete es reconstruido con éxito, OSS Rebuild publica la definición de build y los resultados como una constancia de SLSA Provenance que permite a los usuarios verificar su origen, repetir la construcción o personalizarla partiendo de una base segura y conocida.

En casos donde la automatización no logra reproducir completamente el paquete, OSS Rebuild ofrece una especificación manual para que los desarrolladores puedan usarla.

Este enfoque ayuda a detectar diferentes tipos de compromisos en la cadena de suministro, incluyendo:

• Paquetes que contienen código oculto o no autorizado que no está en el repositorio público (por ejemplo, @solana/web3.js).
• Actividades sospechosas durante el proceso de build (por ejemplo, tj-actions/changed-files).
• Rutas de ejecución inusuales o operaciones sospechosas difíciles de identificar mediante revisión manual (como ocurrió con la herramienta XZ Utils).

Además de proteger la cadena de suministro de software, OSS Rebuild mejora las Listas de Materiales de Software (SBOMs), acelera la respuesta a vulnerabilidades, fortalece la confianza en los paquetes y elimina la necesidad de que las plataformas CI/CD gestionen la seguridad de los paquetes.

Google señala que las reconstrucciones se basan en el análisis de metadatos y artefactos publicados y se evalúan frente a las versiones upstream. Cuando la reconstrucción es exitosa, se publica una constancia que verifica la integridad del artefacto original, eliminando muchas posibles fuentes de compromiso.

Fuente: https://thehackernews.com/2025/07/google-launches-oss-rebuild-to-expose.html