为提升开源项目安全性，谷歌推出了OSS Rebuild项目，开发者可利用该工具通过重现构建过程验证开源软件包的完整性，从而防止开源供应链攻击。

谷歌指出，开源软件已成为数字世界的基础组成部分。从关键基础设施到日常应用，开源软件组件占现代应用的77%。据估算，其价值超过12万亿美元，约合86.21万亿元人民币。开源软件在当前全球经济中扮演着前所未有的重要角色。

然而，开源的广泛使用也使其成为攻击者的目标。例如，攻击者可通过针对广泛使用的开源组件“投毒”，进而攻击大量依赖该组件的软件。

谷歌表示，OSS Rebuild可在无需维护者额外投入的情况下生成SLSA软件供应链Build Level 3要求，为开发者提供可验证的软件组件构建记录。

OSS Rebuild项目具备多项优势，主要面向安全团队和维护者。安全团队可借此检测未提交的源代码、构建环境是否被入侵以及是否存在隐蔽的后门程序。此外，该项目还增强了元数据，补充了软件物料清单，并加快了漏洞响应速度。

目前，OSS Rebuild项目初始支持PyPI（Python）、npm（JS/TS）和Cratesio（Rust），未来计划扩展至更多生态系统。用户可通过命令行使用该项目，以获取来源信息、查看可重建版本并重建软件包。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。