গুগলের ওএসএস রিবিল্ড প্রকল্প: ওপেন-সোর্স সফটওয়্যারে ক্ষতিকর কোড শনাক্তে নতুন উদ্যোগ

গুগল ওপেন-সোর্স সফটওয়্যার প্যাকেজ ইকোসিস্টেমের নিরাপত্তা জোরদার করতে এবং সফটওয়্যার সাপ্লাই চেইন হামলা প্রতিরোধে একটি নতুন উদ্যোগ, ওএসএস রিবিল্ড, চালু করেছে। এই প্রকল্পটি পাইথন প্যাকেজ ইনডেক্স (পাইপিআই), এনপিএম (জাভাস্ক্রিপ্ট/টাইপস্ক্রিপ্ট) এবং ক্রেটস.আইও (রাস্ট) প্যাকেজ রেজিস্ট্রির জন্য বিল্ড প্রোভেন্যান্স প্রদানের লক্ষ্য রাখে, এবং ভবিষ্যতে অন্যান্য ওপেন-সোর্স সফটওয়্যার ডেভেলপমেন্ট প্ল্যাটফর্মে এটি সম্প্রসারণের পরিকল্পনা রয়েছে।

গুগল ওপেন সোর্স সিকিউরিটি টিমের (জিওএসএসটি) ম্যাথু সুওজ্জো বলেন, “সাপ্লাই চেইন হামলা ব্যাপকভাবে ব্যবহৃত ডিপেন্ডেন্সিগুলোকে টার্গেট করছে। ওএসএস রিবিল্ড সিকিউরিটি টিমকে শক্তিশালী ডেটা প্রদান করে, যা আপস্ট্রিম মেইনটেইনারদের উপর বাড়তি চাপ না দিয়ে আপোস প্রতিরোধ করতে সহায়তা করে।”

ওএসএস রিবিল্ডের মূল উদ্দেশ্য হলো ডিক্ল্যারেটিভ বিল্ড ডেফিনিশন, বিল্ড ইন্সট্রুমেন্টেশন এবং নেটওয়ার্ক মনিটরিং ক্ষমতার সমন্বয়ে নির্ভরযোগ্য সিকিউরিটি মেটাডেটা তৈরি করা। এই মেটাডেটা প্যাকেজের উৎস যাচাই করতে এবং এটি পরিবর্তিত হয়নি তা নিশ্চিত করতে ব্যবহৃত হয়। গুগল জানিয়েছে, “আমরা অটোমেশন এবং হিউরিস্টিকসের মাধ্যমে একটি টার্গেট প্যাকেজের জন্য সম্ভাব্য বিল্ড ডেফিনিশন নির্ধারণ করে এটি পুনর্নির্মাণ করি। ফলাফলটি বিদ্যমান আপস্ট্রিম আর্টিফ্যাক্টের সঙ্গে তুলনা করা হয়, যেখানে আর্কাইভ কম্প্রেশনের মতো অস্থিরতা দূর করে সিমান্টিক তুলনা করা হয়।”

প্যাকেজটি পুনর্নির্মাণের পর, বিল্ড ডেফিনিশন এবং ফলাফল এসএলএসএ (সাপ্লাই-চেইন লেভেলস ফর সফটওয়্যার আর্টিফ্যাক্টস) প্রোভেন্যান্সের মাধ্যমে প্রকাশ করা হয়। এই প্রক্রিয়া ব্যবহারকারীদের প্যাকেজের উৎস নির্ভরযোগ্যভাবে যাচাই করতে, বিল্ড প্রক্রিয়া পুনরাবৃত্তি করতে এবং এমনকি একটি পরিচিত কার্যকর বেসলাইন থেকে বিল্ড কাস্টমাইজ করতে সক্ষম করে। যেসব ক্ষেত্রে অটোমেশন প্যাকেজটি সম্পূর্ণভাবে পুনর্নির্মাণ করতে ব্যর্থ হয়, সেখানে ওএসএস রিবিল্ড ম্যানুয়াল বিল্ড স্পেসিফিকেশনের সুযোগ দেয়।

ওএসএস রিবিল্ড বিভিন্ন ধরনের সাপ্লাই চেইন আপোস শনাক্ত করতে সক্ষম, যার মধ্যে রয়েছে:

• পাবলিক সোর্স রিপোজিটরিতে অনুপস্থিত কোড: যেমন, @solana/web3.js-এর ক্ষেত্রে, যেখানে প্রকাশিত প্যাকেজে এমন কোড ছিল যা পাবলিক রিপোজিটরিতে ছিল না।
• সন্দেহজনক বিল্ড কার্যক্রম: উদাহরণস্বরূপ, tj-actions/changed-files-এর ক্ষেত্রে, যেখানে অস্বাভাবিক বিল্ড আচরণ পরিলক্ষিত হয়েছে।
• জটিল ব্যাকডোর: যেমন, XZ Utils-এর ক্ষেত্রে, যেখানে ম্যানুয়াল রিভিউয়ের মাধ্যমে শনাক্ত করা কঠিন এমন অস্বাভাবিক এক্সিকিউশন পাথ বা সন্দেহজনক অপারেশন ছিল।

সফটওয়্যার সাপ্লাই চেইন নিরাপদ করার পাশাপাশি, এই সমাধান সফটওয়্যার বিল অফ ম্যাটেরিয়ালস (এসবিওএম) উন্নত করতে, দুর্বলতার প্রতিক্রিয়া ত্বরান্বিত করতে, প্যাকেজের নির্ভরযোগ্যতা জোরদার করতে এবং সংস্থার প্যাকেজ নিরাপত্তার দায়িত্ব সিআই/সিডি প্ল্যাটফর্মের উপর না রেখে কার্যকর ভূমিকা পালন করতে পারে। গুগল জানিয়েছে, “প্রকাশিত মেটাডেটা এবং আর্টিফ্যাক্ট বিশ্লেষণ করে রিবিল্ড তৈরি করা হয় এবং আপস্ট্রিম প্যাকেজ সংস্করণের সঙ্গে মূল্যায়ন করা হয়। সফল হলে, আপস্ট্রিম আর্টিফ্যাক্টের জন্য বিল্ড অ্যাটেস্টেশন প্রকাশ করা হয়, যা আর্টিফ্যাক্টের অখণ্ডতা যাচাই করে এবং সম্ভাব্য আপোসের অনেক উৎস দূর করে।”

বাংলাদেশের প্রেক্ষাপটে, এই উদ্যোগ সফটওয়্যার ডেভেলপমেন্ট এবং আইটি খাতের জন্য গুরুত্বপূর্ণ। দেশের ক্রমবর্ধমান প্রযুক্তি শিল্পে ওপেন-সোর্স সফটওয়্যারের ব্যাপক ব্যবহার রয়েছে, এবং সাপ্লাই চেইন হামলার ঝুঁকি স্থানীয় ডেভেলপার এবং প্রতিষ্ঠানগুলোর জন্য বড় চ্যালেঞ্জ। ওএসএস রিবিল্ডের মতো প্রকল্প স্থানীয় ডেভেলপারদের নিরাপদ এবং যাচাইযোগ্য প্যাকেজ ব্যবহারে সহায়তা করতে পারে, যা সাইবার নিরাপত্তা বাড়াতে এবং ডেটা চুরি বা সিস্টেম আপোসের ঝুঁকি কমাতে সহায়ক হবে। তবে, এই প্রযুক্তি ব্যবহারের জন্য স্থানীয় ডেভেলপারদের মধ্যে সচেতনতা বাড়ানো এবং প্রশিক্ষণের প্রয়োজন হতে পারে।

ওএসএস রিবিল্ডের ডেটা পাবলিক ড্যাশবোর্ড এবং গো-ভিত্তিক কমান্ড-লাইন ইন্টারফেসের মাধ্যমে অ্যাক্সেস করা যায়, যা ডেভেলপার এবং সিকিউরিটি টিমের জন্য ব্যবহার সহজ করে। গুগলের এই উদ্যোগ শুধুমাত্র সাইবার নিরাপত্তা জোরদার করছে না, বরং ওপেন-সোর্স সম্প্রদায়ের মধ্যে সহযোগিতা এবং স্বচ্ছতার সংস্কৃতি গড়ে তুলছে।