با وجود رایگان بودن بسیاری از نرمافزارهای متنباز، این نرمافزارها ستون فقرات زیرساخت دیجیتال مدرن محسوب میشوند؛ بهطوریکه 77 درصد از نرمافزارهای کاربردی را تشکیل میدهند و ارزش آنها بیش از 12 تریلیون دلار برآورد شده است. محبوبیت بالای آنها، این نرمافزارها را به هدفی جذاب برای حملات پیچیده زنجیره تأمین تبدیل کرده که میتواند اعتماد کاربران و توسعهدهندگان را تحت تأثیر قرار دهد. برخی حملات شاخص زنجیره تأمین شامل موارد زیر هستند:
- اضافه شدن در پشتی به پروژه solana/webjs از طریق حساب npm آلوده، که منجر به سرقت کلیدهای خصوصی ارز دیجیتال شد.
- پروژه tj-actions/changed-files که در آن یک GitHub Action آلوده باعث افشای اطلاعات حساس شد.
- آلودگی نرمافزار xz-utils به در پشتی پیچیدهای که امکان دسترسی راه دور برای مهاجمان فراهم میکرد.
برای افزایش ایمنی پروژههای متنباز، گوگل پروژه OSS Rebuild را معرفی کرده است. این پروژه به توسعهدهندگان اجازه میدهد تا با بازسازی فرآیند ساخت، صحت بستههای متنباز را تأیید کنند. گوگل اعلام کرده این ابزار الزامات سطح ساخت 3 SLSA را بدون نیاز به دخالت نگهدارنده تولید میکند و رکورد قابلتأییدی از نحوه تولید نرمافزار ارائه میدهد.
گوگل در مورد اهداف این پروژه گفته است: هدف ما از OSS Rebuild توانمندسازی جامعه امنیتی برای درک عمیق و کنترل زنجیره تأمینشان است، بهطوریکه استفاده از بستهها شفافیتی مانند استفاده از مخزن منبع پیدا کند. این پروژه فواید متعددی برای تیمهای امنیتی و نگهدارندگان دارد:
- امنیتکاران میتوانند کدهای منبع ارسالنشده، نقصهای محیط ساخت، و در پشتیهای پنهان را شناسایی کنند.
- OSS Rebuild متادادهها را تقویت کرده، صورتحساب نرمافزارها را بهبود میبخشد و واکنش به آسیبپذیریها را سرعت میبخشد.
- نگهدارندگان نیز از اعتبارسنجی مستقل و اعمال گواهی صحت بر بستههای قدیمی بهرهمند میشوند.
این پروژه در ابتدا از PyPI (پایتون)، npm (جاوااسکریپت/تایپاسکریپت) و Createsio (راست) پشتیبانی میکند و برنامههایی برای گسترش به سایر اکوسیستمها نیز دارد. کاربران میتوانند از طریق خط فرمان، اطلاعات منبع را دریافت کنند، نسخههای بازسازیشده را بررسی نمایند و بستهها را مجدداً بسازند
