راه‌اندازی OSS Rebuild برای افشای کد مخرب در بسته‌های متن‌باز پرکاربرد توسط گوگل

گوگل از راه‌اندازی یک ابتکار جدید به نام OSS Rebuild برای تقویت امنیت اکوسیستم‌های بسته‌های متن‌باز و جلوگیری از حملات زنجیره تأمین نرم‌افزار خبر داده است.

متیو سوزو، تیم امنیت متن‌باز گوگل (GOSST)، این هفته در یک پست وبلاگی گفت[۱]: «ازآنجایی‌که حملات زنجیره تأمین همچنان وابستگی‌های پرکاربرد را هدف قرار می‌دهند، OSS Rebuild داده‌های قدرتمندی را در اختیار تیم‌های امنیتی قرار می‌دهد تا بدون ایجاد بار اضافی بر دوش نگه‌دارندگان بالادستی، از به خطر افتادن جلوگیری کنند.»

هدف این پروژه ارائه منشأ ساخت برای بسته‌ها است و قصد دارد آن را به سایر پلتفرم‌های توسعه نرم‌افزار متن‌باز نیز گسترش دهد. با OSS Rebuild، ایده این است که ترکیبی از تعاریف ساخت اعلانی، ابزار دقیق ساخت و قابلیت‌های نظارت بر شبکه برای تولید فراداده‌های امنیتی قابل‌اعتماد استفاده شود که سپس می‌توان از آن‌ها برای تأیید منشأ بسته و اطمینان از عدم دست‌کاری آن استفاده کرد.

گوگل گفت: «از طریق اتوماسیون و روش‌های اکتشافی، ما یک تعریف ساخت احتمالی برای یک بسته هدف تعیین می‌کنیم و آن را بازسازی می‌کنیم. ما ازنظر معنایی نتیجه را با مصنوعات بالادستی موجود مقایسه می‌کنیم و هر یک را نرمال‌سازی می‌کنیم تا ناپایداری‌هایی را که باعث می‌شوند مقایسه‌های بیت به بیت با شکست مواجه شوند (مثلاً فشرده‌سازی بایگانی) حذف کنیم.»

پس از بازتولید بسته، تعریف ساخت و نتیجه از طریق SLSA Provenance[2] به‌عنوان یک مکانیسم تأیید منتشر می‌شود که به کاربران امکان می‌دهد منشأ آن را به‌طور قابل‌اعتمادی تأیید کنند، فرآیند ساخت را تکرار کنند و حتی ساخت را از یک خط پایه با عملکرد شناخته‌شده سفارشی کنند.

در سناریوهایی که اتوماسیون قادر به بازتولید کامل بسته نیست، OSS Rebuild یک مشخصات ساخت دستی ارائه می‌دهد که می‌تواند به جای آن استفاده شود. غول فناوری خاطرنشان کرد که OSS Rebuild می‌تواند به شناسایی دسته‌های مختلف از آسیب‌پذیری‌های زنجیره تأمین، ازجمله موارد زیر، کمک کند:

• بسته‌های منتشر شده‌ای که حاوی کدی هستند که در مخزن منبع عمومی وجود ندارد [۳]
• فعالیت ساخت مشکوک [۴]
• مسیرهای اجرای غیرمعمول یا عملیات مشکوک تعبیه‌شده در یک بسته که شناسایی آن‌ها از طریق بررسی دستی چالش برانگیز است [۵]

علاوه بر ایمن‌سازی زنجیره تأمین نرم‌افزار، این راهکار می‌تواند صورتحساب‌های مواد نرم‌افزاری (SBOM) را بهبود بخشد، پاسخ به آسیب‌پذیری را تسریع کند، اعتماد به بسته را تقویت کند و نیاز به پلتفرم‌های CI/CD را برای مسئولیت امنیت بسته یک سازمان از بین ببرد.

گوگل گفت[۶]: “بازسازی‌ها با تجزیه‌وتحلیل فراداده‌ها و مصنوعات منتشر شده به دست می‌آیند و در برابر نسخه‌های بسته بالادستی ارزیابی می‌شوند. در صورت موفقیت، گواهی‌های ساخت برای مصنوعات بالادستی منتشر می‌شوند، یکپارچگی مصنوع بالادستی را تأیید می‌کنند و بسیاری از منابع احتمالی سازش را از بین می‌برند.”

 

منابع

[۱] https://security.googleblog.com/2025/07/introducing-oss-rebuild-open-source.html

[۲] https://thehackernews.com/2022/10/google-launches-guac-open-source.html

[۳] https://thehackernews.com/2024/12/researchers-uncover-backdoor-in-solanas.html

[۴] https://thehackernews.com/2025/04/spotbugs-access-token-theft-identified.html

[۵] https://thehackernews.com/2024/04/malicious-code-in-xz-utils-for-linux.html

[۶] https://github.com/google/oss-rebuild

[۷] https://thehackernews.com/2025/07/google-launches-oss-rebuild-to-expose.html