أعلنت شركة جوجل عن إطلاق مبادرة جديدة تحمل اسم OSS Rebuild، تهدف إلى تعزيز أمن بيئة البرمجيات مفتوحة المصدر، وحماية الحزم البرمجية المنتشرة من هجمات سلسلة التوريد التي تستهدف التبعيات الشائعة الاستخدام.
وقال ماثيو سوزو من فريق جوجل لأمن المصادر المفتوحة (GOSST) في تدوينة هذا الأسبوع: “مع استمرار استهداف هجمات سلاسل التوريد للتبعيات واسعة الانتشار، تقدم مبادرة OSS Rebuild بيانات أمنية قوية للفرق الأمنية، دون تحميل عبء إضافي على مطوري الحزم الأصليين”.
توثيق موثوق لبناء الحزم البرمجية
تهدف المبادرة إلى توفير ما يُعرف بـ”بناء الحزمة القابل للتتبع” (Build Provenance) لحزم Python وnpm وRust، مع خطة لتوسيع التغطية لتشمل منصات تطوير مفتوح المصدر أخرى لاحقًا. وتعتمد المبادرة على مزيج من تعريفات بناء وصفية، وأدوات مراقبة الشبكة، وآليات تتبع، لإنتاج بيانات أمنية موثوقة حول كل حزمة.
وأوضحت جوجل أن عملية إعادة البناء تتم عبر استنتاج تعريف البناء المناسب للحزمة المستهدفة، ثم تنفيذ عملية إعادة بناء شاملة، ومقارنة الناتج الناتج عن هذه العملية مع الحزمة الأصلية المنشورة، بعد إزالة أي عوامل تؤدي لاختلافات غير جوهرية مثل ضغط الأرشيف.
إثباتات البناء عبر SLSA
بعد إعادة بناء الحزمة، يتم نشر تعريف البناء والناتج المرافق باستخدام بروتوكول SLSA Provenance، ما يُمكّن المستخدمين من التحقق من مصدر الحزمة بشكل موثوق، وإعادة تنفيذ عملية البناء إن لزم الأمر، وحتى تخصيصها من نقطة انطلاق آمنة.
وفي الحالات التي يتعذر فيها إعادة بناء الحزمة آليًا، توفر OSS Rebuild مواصفات بناء يدوية يمكن استخدامها لضمان الشفافية.
كشف التلاعب في الحزم مفتوحة المصدر
تساعد المبادرة في كشف عدة أنواع من التلاعب في الحزم البرمجية، منها:
-
الحزم المنشورة التي تتضمن شيفرات غير موجودة في المستودع المصدري العلني (مثل: @solana/web3.js)
-
أنشطة بناء مشبوهة أو غير مألوفة (مثل: tj-actions/changed-files)
-
مسارات تنفيذ غير عادية أو أوامر مريبة يصعب اكتشافها يدويًا (مثل: XZ Utils)
تحسين أمن الحزم والاستجابة للثغرات
إلى جانب تأمين سلسلة التوريد البرمجية، تساهم OSS Rebuild في تحسين فواتير مكونات البرمجيات (SBOMs)، وتسريع الاستجابة للثغرات الأمنية، وزيادة ثقة المستخدمين في الحزم، وإزالة الحاجة لاعتماد فرق التطوير على منصات CI/CD لضمان سلامة الحزم.
واختتمت جوجل بالقول: “تُشتق عمليات إعادة البناء من تحليل البيانات المنشورة والتحقق منها مقابل النسخ الأصلية للحزم، وعند نجاح العملية، تُنشر إثباتات البناء لتؤكد سلامة الحزمة الأصلية وتستبعد الكثير من مصادر الاختراق المحتملة”.
