Código aberto, reconstruído para durar
Apresentando OSS reconstrução: código aberto, reconstruído para durar (Via) Principais notícias sobre as compilações reproduzíveis Frente: a equipe de segurança do Google anunciou a OSS Rebuild, seu projeto para fornecer atestados de construção para pacotes de código aberto lançados através da NPM, PYPI e Crates EcoSystom (e mais por vir).
Atualmente, eles são criados contra os pacotes “mais populares” desses ecossistemas:
Através da automação e das heurísticas, determinamos uma definição de construção prospectiva para um pacote de destino e a reconstruímos. Comparamos semanticamente o resultado com o artefato a montante existente, normalizando cada um para remover instabilidades que fazem com que as comparações de bit-bit falhem (por exemplo, compressão do arquivo). Depois de reproduzir o pacote, publicamos a definição e o resultado da construção via proveniência SLSA. Esse atestado permite que os consumidores verifiquem de forma confiável a origem de um pacote no histórico de fontes, entendam e repitam seu processo de construção e personalizem a construção de uma linha de base funcional conhecida
A única maneira de interagir com os dados de reconstrução agora é através da ferramenta GO da CLI. Eu me engenhei usando Gemini 2.5 Pro e derivi este comando para obter uma lista de todos os seus pacotes construídos:
gsutil ls -r 'gs://google-rebuild-attestations/**'
Existem 9.513 linhas totais, aqui está uma essência. Usei o código Claude para contá -los nos diferentes ecossistemas (descontando duplicatas para diferentes versões do mesmo pacote):
- Pypi: 5.028 pacotes
- Crateso: 2.437 pacotes
- NPM: 2.048 pacotes
Então fiquei um pouco ambicioso … Como os próprios arquivos estão hospedados em um balde do Google Cloud, eu poderia executar meu próprio aplicativo da web em algum lugar em storage.googleapis.com Isso poderia usar fetch() Para recuperar esses dados, trabalhando em torno da falta de cabeçalhos de cors abertos?
Recebi o Claude Code para tentar isso para mim (não queria descobrir como criar um balde e configurá-lo para acesso à web apenas para esse experimento) e ele construiu e depois implantou https://storage.googleapis.com/rebuild-ui/index.html, que realmente funcionou!
Ele permite pesquisar contra essa lista de pacotes da GIST e, em seguida, selecione um para visualizar o JSON de novo linear impresso, que foi armazenado para esse pacote.
A saída não é tão interessante quanto eu espera fetch() pedidos para outros baldes públicos.
Esperançosamente, a equipe de reconstrução da OSS adicionará uma interface do usuário da web ao seu projeto em algum momento no futuro.
