O Google anunciou recentemente um novo projeto ambicioso chamado “OSS Rebuild” (Reconstrução de Software de Código Aberto). O objetivo principal é aumentar a segurança da cadeia de suprimentos de software, especialmente para componentes de código aberto amplamente utilizados.
O OSS Rebuild surge da preocupação crescente com a segurança do software, pois muitos programas e sistemas dependem de bibliotecas e ferramentas de código aberto. No entanto, se houver uma vulnerabilidade ou um ataque malicioso em um desses componentes, isso pode ter um efeito cascata e comprometer a segurança de inúmeros outros softwares que o utilizam.
A empresa trabalha em colaboração com a comunidade de código aberto para implementar o OSS Rebuild. Eles esperam que esse projeto se torne uma ferramenta fundamental para melhorar a confiança e a segurança no ecossistema de software de código aberto em geral.
Há uma falta de reprodutibilidade em muitos builds de software. Mesmo que você tenha o código-fonte original, pode ser difícil reconstruir exatamente o mesmo binário em diferentes ambientes. Essa falta de consistência torna mais difícil verificar se ele foi adulterado ou se contém vulnerabilidades não intencionais.
O projeto pretende criar um processo para reconstruir binários de software de código aberto a partir de seu código-fonte original de forma verificável e consistente. O Google quer possibilitar a qualquer pessoa pegar o código-fonte de um projeto open source e, seguindo as diretrizes do OSS Rebuild, gerar um binário idêntico ao que é distribuído oficialmente.
Isso é feito criando ambientes de build padronizados e determinísticos. Independente de onde você esteja construindo o software, se usar as mesmas ferramentas, configurações e versão do código-fonte, o resultado final será exatamente o mesmo. Se a reconstrução não produzir o mesmo resultado que o binário oficial, isso é um sinal de alerta.
Ao garantir a integridade dos componentes de código aberto, o projeto ajuda a fortalecer toda a cadeia de suprimentos de software contra ataques.