2025年7月23日Ravie Lakshmananソフトウェアインテグリティ / DevSecOps
Googleは、オープンソースパッケージエコシステムのセキュリティを強化し、ソフトウェアサプライチェーン攻撃を防ぐための新たな取り組み「OSS Rebuild」の開始を発表しました。
「サプライチェーン攻撃が広く使用されている依存関係を引き続き標的とする中、OSS Rebuildはセキュリティチームに対し、上流のメンテナーに負担をかけることなく、侵害を回避するための強力なデータを提供します」とGoogleオープンソースセキュリティチーム(GOSST)のMatthew Suozzo氏は、今週のブログ投稿で述べています。
このプロジェクトは、Python Package Index(Python)、npm(JS/TS)、Crates.io(Rust)などのパッケージレジストリ全体でビルドの出自情報を提供することを目指しており、今後は他のオープンソースソフトウェア開発プラットフォームにも拡大する予定です。
OSS Rebuildでは、宣言的なビルド定義、ビルドの計測、ネットワーク監視機能を組み合わせて信頼できるセキュリティメタデータを生成し、それを用いてパッケージの出自を検証し、改ざんされていないことを保証できるようにするというアイデアです。
「自動化とヒューリスティックを通じて、対象パッケージの見込みビルド定義を決定し、それを再ビルドします」とGoogleは述べています。「その結果を既存の上流アーティファクトとセマンティックに比較し、アーカイブ圧縮などビット単位での比較を失敗させる不安定要素を除去するために正規化します。」
パッケージが再現された後、ビルド定義とその結果はSLSA Provenanceを通じて公開され、ユーザーがその出自を確実に検証し、ビルドプロセスを再現し、既知の正常なベースラインからビルドをカスタマイズすることも可能になります。
自動化でパッケージを完全に再現できない場合には、OSS Rebuildは代わりに手動ビルド仕様を提供します。
テックジャイアントであるGoogleは、OSS Rebuildが以下を含むさまざまな種類のサプライチェーン侵害を検出するのに役立つと述べています。
- 公開ソースリポジトリに存在しないコードを含む公開済みパッケージ(例:@solana/web3.js)
- 疑わしいビルド活動(例:tj-actions/changed-files)
- 手動レビューでは特定が困難な、パッケージ内に埋め込まれた異常な実行経路や疑わしい操作(例:XZ Utils)
ソフトウェアサプライチェーンの保護に加え、このソリューションはソフトウェア部品表(SBOM)の改善、脆弱性対応の迅速化、パッケージの信頼性強化、そして組織のパッケージセキュリティをCI/CDプラットフォームに依存する必要性の排除にも役立ちます。
「再ビルドは公開されたメタデータとアーティファクトを分析することで導き出され、上流パッケージのバージョンと比較して評価されます」とGoogleは述べています。「成功した場合、ビルド証明が上流アーティファクトに対して公開され、上流アーティファクトの完全性が検証され、多くの潜在的な侵害要因が排除されます。」
翻訳元: https://thehackernews.com/2025/07/google-launches-oss-rebuild-to-expose.html