Google ha annunciato OSS Rebuild, un’iniziativa che punta a migliorare la sicurezza del software open source. Gli sviluppatori possono utilizzare vari tool per verificare l’integrità dei pacchetti in modo da ridurre le probabilità di un attacco supply chain. GitHub chiede invece maggiori investimenti all’Unione europea.
Cosa prevede OSS Rebuild
Google evidenzia che il software open source viene utilizzato per il 77% delle applicazioni moderne, incluse quelle per le infrastrutture critiche, fornendo un valore superiore a 12 trilioni di dollari. Essendo così popolare è ovviamente uno dei bersagli principali dei cybercriminali, come dimostrano i recenti attacchi supply chain (aggiunta di malware nei repository).
OSS Rebuild consente di comprendere e controllare le supply chain, rendendo l’utilizzo dei pacchetti trasparente attraverso un processo di build dichiarativo e funzionalità di monitoraggio di rete che producono metadati di sicurezza durevoli e affidabili. L’obiettivo è garantire trasparenza e sicurezza per le supply chain di tutto il software open source. Inizialmente sono supportati i pacchetti PyPI (Python), npm (JS/TS) e Crates.io (Rust).
Analizzando i pacchetti, OSS Rebuild consente ad esempio di rilevare codice sorgente non presente nei repository, componenti compromessi e backdoor sofisticate. Il codice sorgente è ovviamente open source e disponibile su GitHub.
L’importanza del software open source è stata evidenziata anche dalla Commissione europea. Secondo GitHub dovrebbe essere istituito un EU Sovereign Tech Fund prendendo come esempio il Sovereign Tech Fund in Germania. Servirebbero almeno 350 milioni di euro nel periodo 2028-2035 per garantire la manutenzione dei progetti open source. Uno studio di Open Forum Europe, Fraunhofer ISI e European University Institute illustra aree di intervento e criteri per rendere il fondo una realtà.