Google ha annunciato OSS Rebuild, un nuovo progetto pensato per migliorare la sicurezza del software open-source attraverso la riproduzione verificabile degli artefatti upstream. Il progetto nasce per affrontare la crescente minaccia degli attacchi alla supply chain, che sempre più spesso colpiscono pacchetti open-source ampiamente utilizzati.
OSS Rebuild si basa su un processo di build dichiarativo e riproducibile, che consente di ricostruire un pacchetto partendo dal codice sorgente e di confrontarne semanticamente il risultato con l’artefatto originale. I dati generati dal processo vengono poi pubblicati seguendo lo standard SLSA (Supply-chain Levels for Software Artifacts), un framework sviluppato da Google per garantire l’integrità dei pacchetti software.
OSS Rebuild permette di rilevare diverse criticità legate alla supply chain, come la presenza di backdoor nascoste o di codice incluso nei pacchetti ma assente nel sorgente originale. Il progetto accelera l’identificazione delle vulnerabilità, migliora l’affidabilità nei pacchetti utilizzati e riduce la necessità di implementare controlli di sicurezza nelle piattaforme di CI/CD. Al momento, OSS Rebuild supporta i principali ecosistemi di pacchetti: NPM, PyPI e Crates.io.
https://security.googleblog.com/2025/07/introducing-oss-rebuild-open-source.html
