7 月 22 日消息，為提升開源項目的安全性，谷歌今日推出了 OSS Rebuild，開發者可利用該工具通過重現構建過程來驗證開源軟件包的完整性，從而避免開源供應鏈“下毒”情況。

谷歌介紹稱，開源軟件已成為數字世界的基礎。從關鍵基礎設施到日常應用，開源軟件組件占現代應用的 77%。據估計，其價值超過 12 萬億美元（注：現匯率約合 86.21 萬億元人民幣），開源軟件從未如此成為全球經濟的重要組成部分。

然而，這種普遍性也使開源成為攻擊者的目標，比如攻擊者針對某一廣泛使用的開源組件“投毒”，從而攻擊大量使用該開源組件的軟件。

谷歌表示，OSS Rebuild 無需維護者投入精力即可生成 SLSA 軟件供應鏈 Build Level 3 要求，從而為開發者提供軟件組件構建過程的可驗證記錄。

OSS Rebuild 項目具有多重優勢，主要面向安全團隊和維護者。對于安全團隊而言，他們能夠檢測未提交的源代碼、構建環境被入侵以及隱蔽的后門程序。OSS Rebuild 還增強了元數據，補充了軟件物料清單，并加速了漏洞響應。