Google anunció el lanzamiento de OSS Rebuild, una nueva iniciativa enfocada en la seguridad de software de código abierto.
El proyecto tiene como objetivo detectar ataques en la cadena de suministro digital, verificando de forma independiente si los paquetes publicados en repositorios populares realmente corresponden a lo que fue originalmente creado por los desarrolladores.
Inicialmente, el enfoque estará en los paquetes disponibles en los repositorios PyPI (Python), npm (JavaScript/TypeScript) y Crates.io (Rust).
La tecnología detrás de OSS Rebuild funciona de forma automatizada. El sistema recrea entornos de compilación estandarizados para reconstruir los paquetes de software y comparar los resultados con las versiones disponibles públicamente.
En caso de haber divergencias, esto puede indicar la presencia de código malicioso, manipulaciones en el entorno o backdoors ocultos.
El sistema también emite un tipo de «certificado de origen» llamado SLSA Provenance, garantizando más transparencia y confiabilidad al proceso.
El proyecto fue creado como respuesta a ataques reales ocurridos en los últimos años, como los casos del paquete solana/webjs (2024), del repositorio tj-actions/changed-files (2025) y de la biblioteca xz-utils (2024), que llamaron la atención de la comunidad por comprometer la seguridad de miles de sistemas.
Según Google, la presencia de componentes de código abierto ya representa 77% de los software modernos, lo que refuerza la necesidad de mecanismos de verificación más robustos.
OSS Rebuild aprovecha la infraestructura que ya es utilizada por otros proyectos de seguridad de Google, como OSS-Fuzz, conocido por detectar fallos de memoria en software abierto.
