Google ha anunciado OSS Rebuild, una iniciativa para reforzar la confianza en el software de código abierto verificando automáticamente la integridad de los paquetes más populares.
OSS Rebuild descarga el código fuente oficial de repositorios como GitHub, lo recompila en un entorno controlado y compara el resultado, byte a byte, con las versiones publicadas en hubs de paquetes como PyPI, npm o crates.io. Además, emplea análisis dinámico para detectar comportamientos sospechosos durante la compilación, como los observados en incidentes como xz-utils o Web3.js, donde se introdujeron backdoors en la cadena de suministro. Si se detectan discrepancias, se alerta al equipo de seguridad de Google y al creador del paquete.
El sistema genera atestados de compilación firmados criptográficamente con herramientas como Sigstore, y ofrece una utilidad de línea de comandos (oss-rebuild) que permite a los desarrolladores verificar paquetes directamente.
Aunque inicialmente cubre los paquetes más populares de Python, JavaScript y Rust, Google planea expandir su soporte. Con cerca del 77% de las aplicaciones modernas dependiendo de librerías de código abierto, OSS Rebuild aspira a ser un estándar global de integridad, similar a un certificado SSL para la distribución de software.
OSS Rebuild actúa como un recurso complementario, que no interfiere con los gestores oficiales de paquetes de cada lenguaje, como crates, npm y pip, y no impide ni dificulta el uso de sistemas de verificación alternativos, como Sigstore o Reproducible Builds. Más detalles están disponibles en el blog de seguridad de Google.
