A hét elején a Google Open Source Security csapata bemutatta az OSS Rebuild nevű új biztonsági projektjét, amely a szoftverellátási lánc átláthatóságát és ellenőrizhetőségét célozza meg a nyílt forráskódú csomagkezelésben. A rendszer automatizmusokat kínál deklaratív buildleírások elkészítéséhez, új ellenőrző és megfigyelő eszközöket a biztonsági szakértők számára, valamint infrastrukturális megoldásokat a szervezeteknek, amelyek lehetővé teszik a csomagok saját, újraépített és aláírt változatainak terjesztését. Jellemző példa, hogy a projekt indulásával több ezer csomaghoz készültek biztonsági igazolások a legnagyobb ökoszisztémákban, például a PyPI (Python), az npm (JS/TS) és a Crates.io (Rust) rendszereiben.
Átláthatóbbá válik a kódfogyasztás
Az OSS Rebuild platform teljes átláthatóságot biztosít, így a csomaghasználat éppen olyan biztonságos és ellenőrizhető lesz, mintha bárki forráskódból dolgozna. Külön figyelmet érdemel, hogy a rendszer deklaratív buildfolyamatai és fejlett hálózati monitorozása révén rendkívül részletes, tartós és hiteles biztonsági metaadatokat generál. Bár eddig is támogatott volt a memóriahibák automatikus kiszűrése, most az ellátási lánc védelme kerül előtérbe, méghozzá a felhőben futó infrastruktúra modelljét követve.
Kompromittálási kísérletek felismerése
Az OSS Rebuild három fő kompromittációtípust azonosít: azokat a csomagokat, ahol a kiadott verzióban nem elérhető nyilvánosan minden forráskód; a veszélyes, manipulált buildkörnyezeteket; illetve a rejtett, akár rafinált backdoorokat, mint amilyen az xz-botrány (xz incident) is volt nemrég. Az automatikus elemzés futásidőben is felismeri az atipikus viselkedést.
Vállalati haszon és könnyű bevezetés
A rendszerhez elegendő a Go-alapú CLI letöltése, amely képes a korábbi csomagok metaadatainak gazdagítására, az SBOM (szoftverleltár) pontosítására, valamint a sebezhetőségek detektálásának, patchelésének és újracsomagolásának felgyorsítására. Mindezek tükrében az OSS Rebuild hatékonyabbá és biztonságosabbá teheti a teljes nyílt forráskódú fejlesztést, anélkül, hogy az átállás jelentős adminisztratív többletmunkával járna.
2025, adrienne, news.slashdot.org alapján
Legfrissebb posztok
MA 19:35
💸 A nemesfémek piacán a múlt hét drámai veszteségeket hozott: az arany árfolyama 10% fölött esett, míg az ezüst még nagyobbat, több mint 15%-ot zuhant...
MA 19:23
🤖 A tévé aranykorában még mindenki ugyanazokat a híreket nézte, mert alig volt csatorna, a fizikai és pénzügyi korlátok miatt mindent az ABC, az NBC és a CBS uralt...
MA 17:57
Már az erdők sem menekülhetnek a láthatatlan műanyaghulladék elől, amely folyamatosan hullik az égből...
MA 17:46
A kutatók egyedülálló módszerrel sikeresen felgyorsították az elektronok mozgását organikus napelemekben, amelynek során a töltéshordozók másodperc törtrészében, elképesztő sebességgel jutnak el egyik molekulától a másikig...
MA 17:35
💻 2024 tavaszán, mindössze két nappal egy bonyolult szívoperáció után, egy hetvenes éveiben járó férfi váratlanul elhunyt egy közép-angliai kórházban...
MA 17:24
🙁 A márciusi frissítés után sokan bosszankodhattak, hiszen a Windows 11-ben több népszerű alkalmazás – így a Microsoft Edge, a OneDrive, bizonyos Office appok és a Teams ingyenes változata – váratlanul használhatatlanná vált...
MA 17:12
Napok óta akadozik az élet a Microsoft Exchange Online-nál, csütörtök óta ugyanis egyes felhasználók nem férnek hozzá e-mailjeikhez sem Outlook mobilon, sem az új Maces Outlookon...
MA 17:01
💉 Végre egy reménykeltő fejlemény a hasnyálmirigyrák korai felismerésére: kutatók olyan vértesztet fejlesztettek ki, amely már a betegség korai szakaszában is képes nagy biztonsággal azonosítani a daganatot...
MA 16:56
A Walmart bejelentette, hogy az Egyesült Államok összes üzletében digitális árcímkéket vezet be 2026 végéig, és ezzel teljesen lecserélik a hagyományos papírcímkéket...
MA 16:45
💉 A tudósok egyre közelebb jutnak a zsírmáj kezeléséhez, de kiderült, hogy a legígéretesebb út veszélyeket rejt magában...
MA 16:23
Utazás közben gyakran előfordul, hogy több készülékkel kell ugyanarra a mobilinternet-kapcsolatra csatlakozni – például munka közben, de akár Pokémon GO játék közben is jól jön egy mobil router vagy hotspot...
MA 13:45
💡 Egy német–kínai kutatócsoport meglepő áttörést ért el: az Alzheimer-kór hátterében eddig rejtett molekuláris folyamatra bukkantak, amely szó szerint elindítja az idegsejtek pusztulását...
MA 13:34
Az amerikai Szövetségi Nyomozó Iroda (FBI) figyelmeztetést adott ki, mert iráni hackerek a Telegram alkalmazást használják támadásaik irányítására és célpontjaik elérésére...
MA 13:23
🤩 Az MI-influencerek világában egyre inkább elmosódik a határ a valóság és a fikció között...
MA 12:03
⚡ Érdekes felvetés, hogy míg a legtöbb MI-fejlesztő főként előregyártott chipeken és előre beállított modelleken dolgozik, a CERN kutatói teljesen egyedi utat járnak: nanomásodperc-sebességgel működő MI-algoritmusokat „égetnek” közvetlenül a szilíciumlapkákba, ezzel szűrik ki az adatözön felesleges részét...
MA 11:24
Az újabb RAM‑válság miatt alaposan átrendeződhet az okostelefonok kínálata. Az elmúlt hónapokban az MI-fejlesztések felvásárolták a piacon elérhető memóriát, ami a fogyasztói elektronika árait jelentősen megemelte, főként a megfizethető és középkategóriás mobilokra mérve csapást...
MA 11:12
🔥 Pár napja jelent meg a Crimson Desert, és máris komoly botrány kerekedett belőle: a fejlesztő Pearl Abyss kénytelen volt nyilvánosan bocsánatot kérni, mert a játékosok felháborodtak az AI-generált 2D-s képeken...
MA 10:57
Senki sem várta volna, hogy egy titkos kommunikációs eszköz egyszer világsikert arat a zenében...
MA 10:50
🎗 Külön említést érdemel, hogy Tim Cook, az Apple vezérigazgatója a pekingi China Development Forumon nagy elismeréssel szólt a kínai fejlesztőkről, valamint a vállalat helyi partnereiről...
MA 10:36
Kezdetben a Google Pixel Watch megbízhatóan számolta a megtett lépéseket és más egészségügyi adatokat...
MA 10:33
Észak-Svájcban végzett kutatás szerint a hódok által épített vizes élőhelyek hatalmas mennyiségű szén-dioxidot képesek megkötni, méghozzá meglepően költséghatékony módon...
MA 07:11
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Mutazione (iPhone/iPad)A Mutazione egy varázslatos hangulatú kalandjáték, ahol a kisvárosi pletykák és a természetfeletti rejtélyek különleges elegyet alkotnak...
MA 06:05
Erős nap a történelemben: a brit kolostorbezárások utolsó állomásától Patrick Henry legendás szónoklatán át Mussolini mozgalomalapításáig és Pakisztán köztársasággá válásáig sok minden történt...
vasárnap 07:11
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Terminal Madness – Revelations (iPhone/iPad)A *Terminal Madness: Revelations* egy prémium, fizetős videojáték, amely egy izgalmas sci-fi világba kalauzolja a játékosokat...
vasárnap 06:05
Római császárok kikiáltása, brit adó Amerikában, az Arab Liga megalakulása, valamint a brüsszeli és a londoni terrortámadások: ez a nap a történelemben sorsfordító pillanatokkal van tele...
szombat 07:11
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Terminal Madness – Revelations (iPhone/iPad)A *Terminal Madness: Revelations* egy fizetős sci-fi kalandjáték, amelyben izgalmas történet és komplex logikai feladványok várnak...
szombat 06:05
Időutazás a történelemben: nagy ostromok, sorsfordító törvények és megrázó tragédiák sorakoznak ezen a napon...
péntek 07:11
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Mutazione (iPhone/iPad)A Mutazione egy kalandjáték, amelyben egy kisvárosban élő mutánsok mindennapjaiba nyerhetsz betekintést...
péntek 06:05
Viharos nap a történelemben: a Holland Kelet-indiai Társaság megszületésétől 🧭 a napóleoni Száz Nap kezdetéig, Einstein relativitáselméletétől 🧠 a modern háborúk fordulópontjaiig...
