ओपन सोर्स सप्लाय चेन हल्ल्यांचा सामना करण्यासाठी Google ने ओएसएसचे पुनर्बांधणीचे अनावरण केले
बरेच ओपन सोर्स सॉफ्टवेअर विनामूल्य उपलब्ध आहे, परंतु ते आधुनिक डिजिटल पायाभूत सुविधांचा कणा बनवते, जे अनुप्रयोगांपैकी 77% आहे आणि त्याचे मूल्य 12 ट्रिलियन डॉलर्सपेक्षा जास्त आहे. त्याच्या लोकप्रियतेमुळे अत्याधुनिक पुरवठा साखळी हल्ल्यांचे मुख्य लक्ष्य बनले आहे, जे विकसक आणि वापरकर्त्यांमध्ये विश्वास कमी करू शकते आणि संकोच निर्माण करू शकते.
काही उल्लेखनीय पुरवठा साखळी हल्ले (जेथे दुर्भावनायुक्त कोड विश्वासार्ह घटकांमध्ये इंजेक्शन दिले गेले आहे) सोलाना/वेबजेस समाविष्ट करतात, ज्यात तडजोड केलेल्या एनपीएम खात्याद्वारे एक बॅकडोर जोडला गेला, ज्यामुळे हल्लेखोरांनी क्रिप्टो खाजगी की चोरण्यास प्रवृत्त केले; टीजे- actions क्शन/बदललेल्या-फायलींमध्ये तडजोड गीथब अॅक्शन लीकिंग सिक्रेट्स होती; आणि एक्सझेड-युटिल्सला अत्याधुनिक बॅकडोरने संक्रमित केले ज्याने दुर्भावनायुक्त कलाकारांना दूरस्थ प्रवेश दिला.
ओपन सोर्स प्रोजेक्ट्सच्या सुरक्षिततेस चालना देण्यासाठी, Google ने ओएसएस पुनर्बांधणी सुरू केली आहे, जे विकसक त्यांच्या बिल्डचे पुनरुत्पादन करून मुक्त स्त्रोत पॅकेजेसची अखंडता सत्यापित करण्यासाठी वापरू शकतात. शोध दिग्गज म्हणाले की ओएसएस पुनर्बांधणी सॉफ्टवेअर आर्टिफॅक्ट्स (एसएलएसए) साठी पुरवठा साखळी पातळी तयार करते (एसएलएसए) देखभाल करणार्याच्या प्रयत्नांशिवाय लेव्हल 3 आवश्यकता, आपल्याला सॉफ्टवेअर आर्टिफॅक्ट कसे तयार केले गेले याची सत्यापित रेकॉर्ड देते. या प्रकल्पामागील प्रेरणा चर्चा करताना Google म्हणाले:
“ओएसएस पुनर्बांधणीचे आमचे उद्दीष्ट म्हणजे सुरक्षा समुदायाला सोर्स रेपॉजिटरी वापरुन पॅकेजचा वापर पारदर्शक बनवून त्यांच्या पुरवठा साखळ्यांना खोलवर समजून घेण्यास आणि नियंत्रित करण्यास सक्षम बनविणे आहे.”
द ओएसएस पुनर्बांधणी प्रकल्प मुख्यतः सुरक्षा कार्यसंघ आणि देखभालकर्त्यांचे उद्दीष्ट अनेक फायदे आहेत. सुरक्षा कार्यसंघांसाठी, त्यांना सबस्सी केलेला स्त्रोत कोड शोधण्यात, वातावरणाची तडजोड आणि छुपी बॅकडोर्स शोधण्यात सक्षम असल्याचा फायदा होतो. ओएसएस पुनर्बांधणीमुळे मेटाडेटा वाढते, सामग्रीची सॉफ्टवेअर बिल वाढवते आणि असुरक्षा प्रतिसादास गती देते.
स्वतंत्र सत्यापनातून देखभालकर्ते पॅकेज ट्रस्ट मजबूत करतात आणि सचोटीच्या सत्यापनांसह ऐतिहासिक पॅकेजेस पुनर्प्राप्त करण्याचा फायदा घेतात. प्रकल्प सुरुवातीला पायपीआय (पायथन), एनपीएम (जेएस/टीएस) चे समर्थन करतो आणि अधिक इकोसिस्टम समर्थन नियोजित क्रिएटसिओ (रस्ट). प्रोजेक्टला प्रोव्हान्सन्स आणण्यासाठी, पुनर्बांधणी केलेल्या आवृत्त्या एक्सप्लोर करण्यासाठी आणि पॅकेजेस पुन्हा तयार करण्यासाठी कमांड लाइनद्वारे प्रकल्प वापरला जाऊ शकतो.
प्रतिमा मार्गे डिपॉझिटफोटोस.कॉम
