Por Mid 
OSS Rebuild: revela código malicioso en paquetes de código abierto ~ Segu-Info – Ciberseguridad desde 2000
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Intermedia
Conclusiones clave
- OSS Rebuild busca fortalecer la seguridad en el ecosistema de paquetes de código abierto.
- Proporciona metadatos de seguridad para confirmar el origen y la integridad de los paquetes.
- La iniciativa identifica compromisos en la cadena de suministro de software mediante comparaciones semánticas y especificaciones manuales de construcción.
- Mejora la confianza en los paquetes y acelera la respuesta ante vulnerabilidades sin cargar la responsabilidad a los mantenedores.
Índice
- Introducción a OSS Rebuild
- Metodología de funcionamiento
- Identificación de compromisos en la cadena de suministro
- Beneficios de OSS Rebuild
- Referencias
Introducción a OSS Rebuild
Google ha introducido una nueva iniciativa denominada OSS Rebuild con el propósito de fortalecer la seguridad en los ecosistemas de paquetes de código abierto y prevenir ataques en la cadena de suministro de software. «Con el aumento de ataques dirigidos a dependencias ampliamente utilizadas, OSS Rebuild proporciona a los equipos de seguridad información valiosa para evitar compromisos sin cargar la responsabilidad en los mantenedores de las dependencias», declaró Matthew Suozzo, del equipo de seguridad de código abierto de Google (GOSST), en una reciente entrada de blog.
Metodología de funcionamiento
Este proyecto aspira a ofrecer la procedencia de compilación para los paquetes alojados en repositorios como Python, NPM (JS/TS) y CRATES.IO (Rust), con planes de ampliarse a otras plataformas de desarrollo de software de código abierto en el futuro. La propuesta de OSS Rebuild consiste en emplear una mezcla de definiciones de compilación declarativas, instrumentación de compilación y capacidades de monitoreo en red que generen metadatos de seguridad fiables. Estos metadatos se utilizarán para confirmar el origen del paquete y garantizar que no se haya modificado.
«Utilizando automatización y heurística, determinamos una definición de compilación prospectiva para un paquete en particular y procedemos a reconstruirlo. Creamos comparaciones semánticas del resultado con el artefacto original, normalizando ambos para eliminar inestabilidades que podrían impedir una comparación de bits a bits precisa (por ejemplo, compresión de archivos)». Una vez que se ha generado el paquete, tanto la definición como el resultado de la compilación se documentan a través de la procedencia de SLSA, funcionando como un mecanismo de certificación que permite a los usuarios verificar confiablemente su origen, repetir el proceso de construcción e incluso ajustar la compilación desde una línea base funcional conocida.
Identificación de compromisos en la cadena de suministro
En aquellos casos donde la automatización no logra reproducir por completo el paquete, OSS Rebuild ofrece una especificación de construcción manual que puede ser utilizada. Esta herramienta contribuye a identificar diversas categorías de compromisos en la cadena de suministro, tales como:
- Paquetes publicados que incluyen código que no está presente en el repositorio de fuentes públicas (por ejemplo, @solana/web3.js).
- Actividad de construcción que se considera sospechosa (por ejemplo, TJ-Actions/Cambied-Files).
- Rutas de ejecución inusuales o acciones sospechosas incorporadas dentro de un paquete, que son difíciles de detectar a través de una revisión manual (por ejemplo, XZ Utils).
Beneficios de OSS Rebuild
Aparte de asegurar la cadena de suministro de software, la solución ofrece mejoras en el inventario de activos (SBOMs), acelera la respuesta ante vulnerabilidades, aumenta la confianza en los paquetes y reduce la necesidad de que las plataformas CI/CD asuman la responsabilidad de la seguridad de los paquetes de una organización.
Referencias
Suscríbete a nuestro Boletín
Enviar esto por correo electrónico
BlogThis!
Compartir en X
Compartir en Facebook
Entrada antigua → Página Principal