搜索
防止开源供应链“下毒”,谷歌推出 OSS Rebuild 项目
2025-07-23
谷歌推出OSS Rebuild工具,旨在增强开源项目的安全性。该工具通过重现构建过程来验证开源软件包的完整性,有效防范开源供应链中的“下毒”攻击。OSS Rebuild能自动生成符合SLSA Build Level 3要求的可验证构建记录,助力安全团队检测未提交代码、构建环境入侵及隐藏后门。此外,它还能增强元数据并补充软件物料清单,从而加速漏洞响应。目前,该工具支持Python、JS/TS和Rust生态,未来计划扩展至更多平台。
