7月22日，为了改善开源项目的安全保护，Google推出了一种名为OSS Recuild的新工具。该工具允许开发人员通过重组其编译过程来验证开源软件包的完整性，并有效避免在开源供应链中发生恶意操纵的风险。开源软件目前已深入集成到数字基础架构中，并广泛用于关键系统和日常软件中。统计数据表明，现代应用程序的组成部分中约有77％是开源项目。据估计，其一般经济价值超过了120亿美元，这使其成为世界数字经济的组成部分。但是，开源软件的一般使用也使其成为网络攻击的高风险目标。如果攻击者在广泛依赖的开源组件中暗示了恶意代码，则可能会影响许多随后的应用程序，从而造成巨大的安全威胁。 OSS重建是启动以应对这一挑战。该工具会自动生成汇编记录，该记录已调整为SLSA软件供应链3的标准，而无需项目维护人员的额外参与，为软件组件构建过程提供了可验证的审核标准。该项目主要为安全设备和开源项目的维护者提供服务。安全设备可以使用此工具来识别私人源代码的更改，发现编译环境是否已受到损害并检测到可能的隐藏资金。同时，OSS的重建有助于完成软件元数据，对软件材料进行补充信息，并加速对安全漏洞的响应。目前，该项目允许三个主要的生态系统：PYPI（Python），NPM（JS/TS）和CreateSio（Rust），并有望将来扩展更多平台。用户可以使用命令行工具访问项目，请咨询软件源E，请参阅重建版本并获取重建的软件包。