Google startet neue Initiative zur Absicherung der Open-Source-Lieferkette
Google will mit der neuen Initiative OSS Rebuild die Sicherheit weitverbreiteter Open-Source-Pakete stärken und Angriffe auf die Software-Lieferkette wirksam bekämpfen. Das Projekt soll Entwicklerteams dabei unterstützen, die Integrität von Paketen zu überprüfen – ohne zusätzlichen Aufwand für Maintainer.
OSS Rebuild verfolgt das Ziel, den Build-Prozess von Open-Source-Paketen nachvollziehbar und überprüfbar zu machen. Im Fokus stehen derzeit die Paketquellen PyPI (Python), npm (JavaScript/TypeScript) und Crates.io (Rust) – weitere Plattformen sollen folgen.
Vertrauenswürdige Builds gegen manipulierte Pakete
Die Grundidee von OSS Rebuild ist einfach: Google baut beliebte Open-Source-Pakete noch einmal nach – automatisch, Schritt für Schritt und streng nachvollziehbar. Dabei beobachtet das System genau, was beim Bau des Pakets passiert und welche Anleitungen oder Werkzeuge dabei verwendet werden.
Anschließend wird geprüft, ob das neu erzeugte Paket genau dem Original entspricht – oder ob sich Abweichungen zeigen, die auf Manipulationen hindeuten könnten. Wenn alles passt, wird ein digitaler Herkunftsnachweis (eine sogenannte Provenance-Datei nach dem SLSA-Standard) erstellt. Damit kann jeder nachvollziehen, woher das Paket stammt, wie es gebaut wurde – und ob es wirklich mit dem öffentlichen Quellcode übereinstimmt.
So lassen sich Angriffe erkennen, bei denen heimlich schädlicher Code eingeschleust wurde, obwohl der Quellcode harmlos aussah – wie es in der Vergangenheit bei bekannten Bibliotheken bereits passiert ist.
So funktioniert OSS Rebuild
Google beschreibt den Ablauf wie folgt:
- Eine heuristische Analyse ermittelt, wie sich ein Paket reproduzieren lässt – einschließlich aller Abhängigkeiten und Umgebungsparameter.
- Anschließend erfolgt ein neutraler Rebuild in einer kontrollierten Umgebung.
- Das Ergebnis wird semantisch mit dem Originalpaket verglichen, wobei typische Abweichungen wie Archivkomprimierung oder Zeitstempel normalisiert werden.
- Bei Erfolg wird eine Build-Attestierung veröffentlicht, die Nutzern Sicherheit über die Herkunft und Unverfälschtheit des Pakets gibt.
Falls die automatische Reproduktion scheitert, können Entwickler auf eine manuell bereitgestellte Build-Spezifikation zurückgreifen.
Schutz vor gezielten Manipulationen
OSS Rebuild erkennt laut Google gleich mehrere Arten von Supply-Chain-Angriffen:
- Paketversionen mit Code, der nicht im öffentlichen Repository auftaucht – etwa durch spätere Ergänzungen oder schädliche Modifikationen nach dem Commit.
- Auffällige Build-Aktivitäten wie das Einfügen von Skripten oder Hooks, die in CI/CD-Pipelines nicht sichtbar sind.
- Verdächtige Codepfade oder eingebettete Operationen, die bei manuellem Review kaum auffallen – wie etwa beim XZ-Utils-Vorfall Anfang 2024.
Mehr Transparenz, weniger Risiko
Google sieht OSS Rebuild nicht nur als Mittel zur Absicherung gegen Supply-Chain-Angriffe, sondern auch als Beitrag zur Verbesserung von Software-Stücklisten (SBOMs), zur schnelleren Reaktion auf Sicherheitslücken und zur Stärkung des Vertrauens in Open-Source-Pakete. Gleichzeitig entlastet das System CI/CD-Plattformen, da die Integritätsprüfung ausgelagert wird.
„Rebuilds basieren auf einer Analyse der veröffentlichten Metadaten und Artefakte und werden mit den Paketversionen aus dem Upstream verglichen“, erklärt Google. Im Erfolgsfall dient die veröffentlichte Attestierung als Nachweis der Integrität – und schließt potenzielle Angriffsvektoren aus.
Fazit: OSS Rebuild bringt Reproduzierbarkeit in die Breite
Mit OSS Rebuild unternimmt Google einen wichtigen Schritt, um Vertrauen in Open Source systematisch messbar zu machen. Die Idee reproduzierbarer Builds ist nicht neu, wird hier aber in großem Maßstab und automatisiert umgesetzt – mit direktem Nutzen für die Sicherheit von Softwareprojekten weltweit.
Die Initiative könnte langfristig zum Standard für sicherheitskritische Open-Source-Lieferketten werden – insbesondere dort, wo Integrität und Nachvollziehbarkeit elementar sind.