为应对开源软件供应链安全问题，谷歌今日发布OSS Rebuild工具，帮助开发者通过重现构建过程验证开源软件包的完整性，防范恶意篡改风险。

开源软件已成为数字生态的核心，占比高达77%的现代应用组件，其经济价值超过12万亿美元。然而，其广泛使用也使其成为攻击目标，例如通过“投毒”手段植入恶意代码。

OSS Rebuild可自动生成符合SLSA Build Level 3标准的可验证记录，无需维护者额外投入。该工具能帮助安全团队检测未经验证的代码、被入侵的构建环境及潜在后门，同时增强元数据并优化漏洞响应效率。

目前，OSS Rebuild支持PyPI、npm和Crates.io生态，未来将扩展至更多平台。开发者可通过命令行获取构建来源信息并验证软件包。