O software de código aberto (open source) é a espinha dorsal da infraestrutura digital moderna. Embora grande parte seja gratuita, compõe 77% das aplicações atuais, com um valor estimado em mais de 12 biliões de dólares. Esta popularidade, no entanto, transformou-o num alvo preferencial para ataques sofisticados à cadeia de abastecimento, minando a confiança de programadores e utilizadores.
Ataques notáveis, onde código malicioso é injetado em componentes de confiança, incluem casos como o solana/webjs, que sofreu a adição de um backdoor através de uma conta npm comprometida, levando ao roubo de chaves privadas de criptomoedas. Outros exemplos são o tj-actions/changed-files, que teve uma GitHub Action comprometida a vazar segredos, e o xz-utils, infetado com um backdoor complexo que concedia acesso remoto a atacantes.
A resposta da Google para um ecossistema mais seguro
Para reforçar a segurança dos projetos open source, a Google lançou o OSS Rebuild, uma ferramenta que permite aos programadores verificar a integridade dos pacotes de software através da reprodução das suas compilações (builds). A gigante da pesquisa afirma que o OSS Rebuild gera um registo verificável de como um artefacto de software foi construído, cumprindo os requisitos do nível 3 da norma SLSA (Supply-chain Levels for Software Artifacts) sem esforço adicional por parte dos programadores.
No anúncio oficial do projeto, a Google partilhou a sua motivação: "O nosso objetivo com o OSS Rebuild é capacitar a comunidade de segurança para compreender e controlar profundamente as suas cadeias de abastecimento, tornando o consumo de pacotes tão transparente como usar um repositório de código-fonte."
Vantagens para equipas de segurança e programadores
O projeto OSS Rebuild traz múltiplos benefícios, tanto para as equipas de segurança como para os programadores que mantêm os projetos.
Para as equipas de segurança, as vantagens incluem:
Deteção de código-fonte não submetido.
Identificação de comprometimentos no ambiente de compilação.
Descoberta de backdoors furtivos.
Melhoria dos metadados e enriquecimento das Listas de Materiais de Software (SBOMs).
Aceleração da resposta a vulnerabilidades.
Para os programadores e mantenedores de projetos, os benefícios são:
Reforço da confiança nos pacotes através de verificação independente.
Capacidade de adaptar pacotes históricos com atestados de integridade.
Suporte inicial e como começar
Inicialmente, o projeto suporta os ecossistemas PyPI (Python), npm (JavaScript/TypeScript) e Crates.io (Rust), com planos para expandir o suporte no futuro. O OSS Rebuild pode ser utilizado através da linha de comandos, permitindo aos utilizadores obter a proveniência, explorar versões reconstruídas e recompilar pacotes para verificação.
Nenhum comentário
Seja o primeiro!