OSS Rebuild: open-source, Rebuilt to Last
10 months ago
- #security
- #supply-chain
- #open-source
- 宣布OSS Rebuild项目,旨在通过重现上游制品来增强对开源软件包生态系统的信任。
- 项目特性包括自动化生成构建定义、为软件包生成SLSA溯源数据、构建可观测性工具及基础设施定义。
- 致力于解决开源安全领域的挑战,如软件供应链攻击和透明度需求问题。
- 旨在赋能安全社区,使其对供应链拥有深度理解和控制能力。
- 运作方式包括重建软件包、与上游制品比对差异,并通过SLSA溯源发布构建定义。
- 核心能力涵盖检测未提交的源代码、构建环境被入侵迹象及隐蔽后门程序。
- 企业用户可获得增强的元数据、强化的SBOM清单和加速的漏洞响应等收益。
- 发布者能获得强化软件包可信度、历史包追溯能力及降低CI安全敏感度等优势。
- 提供基于Go语言的CLI工具,用于访问验证凭证、获取SLSA溯源数据和重建软件包。
- 诚邀开发者、企业及安全研究人员共同参与守护开源生态系统安全。