Google เปิดตัว "OSS Rebuild" เสริมความแข็งแกร่งความปลอดภัย Open-Source ตรวจจับโค้ดประสงค์ร้าย
Google ได้ประกาศเปิดตัวโครงการใหม่ที่ชื่อว่า OSS Rebuild (Open Source Software Rebuild) เพื่อเสริมสร้างความปลอดภัยให้กับระบบนิเวศของแพ็คเกจโอเพนซอร์ส และป้องกันการโจมตีซัพพลายเชนของซอฟต์แวร์
Matthew Suozzo จากทีม Google Open Source Security Team (GOSST) กล่าวในบล็อกโพสต์เมื่อสัปดาห์ที่ผ่านมาว่า "ในขณะที่การโจมตีซัพพลายเชนยังคงมุ่งเป้าไปที่ส่วนประกอบที่ใช้งานอย่างแพร่หลาย OSS Rebuild จะมอบข้อมูลที่ทรงพลังให้กับทีมรักษาความปลอดภัย เพื่อหลีกเลี่ยงการประนีประนอมโดยไม่เป็นภาระแก่ผู้ดูแลระบบปลายน้ำ"
โครงการนี้มีเป้าหมายที่จะจัดหาข้อมูลต้นทางของการสร้าง (build provenance) สำหรับแพ็คเกจต่างๆ ใน Python Package Index (Python), npm (JS/TS), และ Crates.io (Rust) โดยมีแผนที่จะขยายไปยังแพลตฟอร์มการพัฒนาซอฟต์ต์แวร์โอเพนซอร์สอื่นๆ ในอนาคต
แนวคิดหลักของ OSS Rebuild คือการใช้การผสมผสานระหว่างการกำหนดการสร้างแบบประกาศ (declarative build definitions), การตรวจสอบการสร้าง (build instrumentation), และความสามารถในการตรวจสอบเครือข่าย เพื่อสร้างข้อมูลเมตาด้านความปลอดภัยที่น่าเชื่อถือ ซึ่งสามารถนำมาใช้ในการตรวจสอบแหล่งกำเนิดของแพ็คเกจ และรับรองว่าไม่ถูกแก้ไขเปลี่ยนแปลง
Google อธิบายว่า "ด้วยระบบอัตโนมัติและฮิวริสติกส์ เราจะกำหนดการสร้างที่คาดหวังสำหรับแพ็คเกจเป้าหมาย และทำการสร้างใหม่ เราจะเปรียบเทียบผลลัพธ์กับอาร์ติแฟกต์ต้นน้ำที่มีอยู่ โดยปรับให้เป็นมาตรฐานเพื่อขจัดความไม่เสถียรที่ทำให้การเปรียบเทียบแบบ bit-for-bit ล้มเหลว (เช่น การบีบอัดไฟล์เก็บถาวร)"
เมื่อแพ็คเกจถูกสร้างซ้ำได้สำเร็จ การกำหนดการสร้างและผลลัพธ์จะถูกเผยแพร่ผ่าน SLSA Provenance ซึ่งเป็นกลไกการรับรองที่ช่วยให้ผู้ใช้สามารถตรวจสอบแหล่งกำเนิดได้อย่างน่าเชื่อถือ ทำซ้ำกระบวนการสร้าง และแม้แต่ปรับแต่งการสร้างจากพื้นฐานที่ทราบว่าทำงานได้
ในกรณีที่ระบบอัตโนมัติไม่สามารถสร้างแพ็คเกจซ้ำได้อย่างสมบูรณ์ OSS Rebuild ยังมีการกำหนดการสร้างด้วยตนเองที่สามารถนำมาใช้แทนได้
Google ชี้ให้เห็นว่า OSS Rebuild สามารถช่วยตรวจจับการประนีประนอมในซัพพลายเชนได้หลายประเภท รวมถึง:
แพ็คเกจที่เผยแพร่ซึ่งมีโค้ดที่ไม่ได้อยู่ในคลังซอร์สโค้ดสาธารณะ (เช่น
@solana/web3.js)กิจกรรมการสร้างที่น่าสงสัย (เช่น
tj-actions/changed-files)เส้นทางการดำเนินการที่ผิดปกติ หรือการดำเนินการที่น่าสงสัยที่ฝังอยู่ในแพ็คเกจ ซึ่งยากต่อการระบุด้วยการตรวจสอบด้วยตนเอง (เช่น
XZ Utils)
นอกเหนือจากการรักษาความปลอดภัยของซัพพลายเชนซอฟต์แวร์แล้ว โซลูชันนี้ยังสามารถปรับปรุงรายการวัสดุของซอฟต์แวร์ (Software Bills of Materials - SBOMs) เร่งการตอบสนองต่อช่องโหว่ เสริมสร้างความน่าเชื่อถือของแพ็คเกจ และขจัดความจำเป็นที่แพลตฟอร์ม CI/CD จะต้องรับผิดชอบด้านความปลอดภัยของแพ็คเกจขององค์กร
Google ระบุว่า "การสร้างใหม่มาจาก การวิเคราะห์ข้อมูลเมตาและอาร์ติแฟกต์ที่เผยแพร่ และได้รับการประเมินเทียบกับเวอร์ชันแพ็คเกจต้นน้ำ" "เมื่อสำเร็จ การรับรองการสร้างจะถูกเผยแพร่สำหรับอาร์ติแฟกต์ต้นน้ำ ซึ่งเป็นการยืนยันความสมบูรณ์ของอาร์ติแฟกต์ต้นน้ำ และกำจัดแหล่งที่มาของการประนีประนอมที่เป็นไปได้มากมาย"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก