O Google anunciou o lançamento do OSS Rebuild, uma nova iniciativa voltada à segurança de softwares de código aberto.
O projeto tem como objetivo detectar ataques na cadeia de suprimentos digital, verificando de forma independente se pacotes publicados em repositórios populares realmente correspondem ao que foi originalmente criado pelos desenvolvedores.
Inicialmente, o foco estará nos pacotes disponíveis nos repositórios PyPI (Python), npm (JavaScript/TypeScript) e Crates.io (Rust).
A tecnologia por trás do OSS Rebuild funciona de forma automatizada. O sistema recria ambientes de compilação padronizados para reconstruir os pacotes de software e comparar os resultados com as versões disponibilizadas publicamente.
Caso haja divergências, isso pode indicar a presença de código malicioso, manipulações no ambiente ou backdoors escondidos.
O sistema também emite um tipo de “atestado de origem” chamado SLSA Provenance, garantindo mais transparência e confiabilidade ao processo.
O projeto foi criado como resposta a ataques reais ocorridos nos últimos anos, como os casos do pacote solana/webjs (2024), do repositório tj-actions/changed-files (2025) e da biblioteca xz-utils (2024), que chamaram a atenção da comunidade por comprometerem a segurança de milhares de sistemas.
Segundo o Google, a presença de componentes de código aberto já representa 77% dos softwares modernos, o que reforça a necessidade de mecanismos de verificação mais robustos.
O OSS Rebuild aproveita a infraestrutura que já é usada por outros projetos de segurança do Google, como o OSS-Fuzz, conhecido por detectar falhas de memória em softwares abertos.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
