Помните громкие инциденты, такие как скандал с xz-utils в 2024 году, который показал, как злоумышленники могут внедрять бэкдоры в широко используемые зависимости, подвергая риску миллионы систем? Теперь появился надёжный способ пресечь подобные попытки.
Вчера группа по безопасности открытого исходного кода Google анонсировала совершенно новый проект OSS Rebuild: https://oss-rebuild.dev/ — размещенный сервис, который автоматически перекомпилирует популярные пакеты из PyPI, npm и Crates.io, а затем публикует источник SLSA-Level 3 для каждой сборки.
Проще говоря, он пытается пересобрать то, что загружают разработчики, проверить, что исполняемые файлы происходят из общедоступного дерева исходного кода, и подать сигнал тревоги, если что-то покажется подозрительным. Вот как всё это работает.
- Рецепты автоматической сборки. Эвристика проверяет исходный пакет и выдаёт декларативный файл сборки.
- Герметичная пересборка. Служба перекомпилируется в минимальной, инструментированной среде.
- Семантическое сравнение. Побитовые совпадения не требуются; вместо этого архивы нормализуются для выявления реальных расхождений, а не шума временных меток gzip.
- Подписанное происхождение. Каждая успешная сборка выдаёт аттестат SLSA, подтверждённый Sigstore, предоставляя командам безопасности проверяемые ориентиры, которые можно передавать в генераторы SBOM или механизмы политик.
Поскольку каждый шаг регистрируется и сравнивается, платформа может отметить три неприятных сценария, которые сегодня регулярно встречаются:
- Скрытый код. Если опубликованный артефакт содержит файлы, отсутствующие на GitHub, подтверждение просто не выдаётся — это сразу же тревожный сигнал.
- Отравленные сборщики. Стандартизированные контейнеры изолируют сборку от скомпрометированной CI поставщика.
- Скрытые бэкдоры. Динамический анализ трассировки может обнаружить странные системные вызовы или сетевые соединения — это помогло следователям в прошлом году найти бэкдор xz-utils.
Кодовая база, загруженная на GitHub: https://github.com/google/oss-rebuild под лицензией Apache 2.0, уже предоставляет интерфейс командной строки на базе Go. Один релиз go install исполняемого файла oss-rebuild позволяет разработчикам получить доступ к источнику syn v2.0.39 на Crates.io, составить список всех пересборок absl-py или перенаправить всю пересборку lodash прямо в Docker.
Наконец, Google подчёркивает, что OSS Rebuild — это «только начало». Поддержка других экосистем, таких как Maven Central, модули Go и, возможно, даже базовые образы контейнеров, запланирована в планах. Сейчас компания подталкивает специалистов по безопасности к тому, чтобы они потренировались, сообщали об ошибках и интегрировали канал аттестации в существующие конвейеры SBOM.
Подробную информацию можно найти в официальном заявлении Google: https://security.googleblog.com/2025/07/introducing-oss-rebuild-open-source.html.