Google-Tool gegen Supply-Chain-Attacken
Mit dem neuen Projekt "OSS Rebuild" will Google die Sicherheit von Open-Source-Software verbessern. Im Zentrum steht die reproduzierbare Erstellung weitverbreiteter Softwarepakete – ohne zusätzliche Arbeit für deren ursprüngliche Entwickler. Ziel ist es, die Software-Lieferkette transparenter zu machen und Angriffe auf populäre Abhängigkeiten zu erschweren.
OSS Rebuild richtet sich an Sicherheitsverantwortliche in Unternehmen und bietet Werkzeuge, um Build-Prozesse automatisiert zu rekonstruieren und zu verifizieren. Unterstützt werden zunächst Pakete aus den Ökosystemen PyPI (Python), npm (JavaScript/TypeScript) und Crates.io (Rust). Dabei kommen Build-Definitionen zum Einsatz, die sich aus dem Originalpaket ableiten und mit sogenannten SLSA-Attestierungen (Supply-chain Levels for Software Artifacts) ergänzt werden. So kann laut Google zuverlässig nachvollzogen werden, wie ein Softwarepaket entstanden ist.
Marktmacht Open Source
Der Hintergrund: Open-Source-Komponenten machen laut Google inzwischen rund 77 Prozent moderner Anwendungen aus und sind mit einem geschätzten Gesamtwert von über 12 Billionen US-Dollar ein Grundpfeiler digitaler Infrastrukturen. Gleichzeitig häufen sich gezielte Supply-Chain-Angriffe – wie etwa bei xz-utils (2024) oder solana/webjs (2024) –, bei denen manipulierte Builds in eigentlich vertrauenswürdige Projekte eingeschleust wurden. Klassische Gegenmaßnahmen setzen häufig auf die Mitwirkung der Maintainer, was OSS Rebuild bewusst vermeiden will.
Unerwünschte Veränderungen erkennen
Das Tool analysiert, ob ein öffentlich verfügbares Artefakt mit der dokumentierten Quellcode-Historie übereinstimmt. Dabei werden auch subtile Veränderungen erkannt – etwa Backdoors, die nur in bestimmten Build-Umgebungen aktiviert werden. Mit optionalen manuellen Spezifikationen und dem Einsatz von KI für besonders komplexe Pakete geht das Projekt noch einen Schritt weiter: Selbst ältere oder schwer reproduzierbare Pakete können nachträglich abgesichert werden.
Weniger Arbeit bei mehr Sicherheit
Neben Sicherheitsgewinnen für Endanwender verspricht OSS Rebuild auch Vorteile für Paket-Maintainer: Die Notwendigkeit, sicherheitskritische Continuous-Integration-Pipelines zu betreiben, sinkt. Für Unternehmen wiederum erleichtert das Projekt die Reaktion auf Schwachstellen, da verifizierte Builds und präzisere SBOMs (Software Bills of Materials) zur Verfügung stehen. Über eine Kommandozeilen-Toolschnittstelle lassen sich alle Funktionen direkt nutzen – inklusive Rebuild, Provenance-Abruf und Paketvergleich.