Eclipse Foundation führt Sicherheitsprüfungen vor Veröffentlichung für Open VSX-Erweiterungen ein

Die Eclipse Foundation hat eine neue Sicherheitsrichtlinie angekündigt, die vor der Veröffentlichung durchgeführte Sicherheitsprüfungen für alle Erweiterungen vorschreibt, die im Open VSX Registry eingereicht werden. Diese Open-Source-Alternative zum Visual Studio Code (VS Code) Marketplace von Microsoft soll durch diese proaktive Maßnahme Supply-Chain-Bedrohungen verhindern, bevor bösartige Erweiterungen überhaupt veröffentlicht werden können.

Wichtige Details

• Wer: Eclipse Foundation (Betreiber des Open VSX Registry)
• Was: Verpflichtende Sicherheitsprüfungen vor der Veröffentlichung für VS Code-Erweiterungen
• Wann: Richtlinienumsetzung beginnt in den kommenden Monaten (genaues Datum noch nicht bekannt)
• Warum: Bekämpfung von Supply-Chain-Angriffen, die auf Open-Source-Entwicklungstools abzielen
• Wo: Gilt für alle Erweiterungen, die im Open VSX Registry eingereicht werden

Technischer Kontext

Das Open VSX Registry dient als community-gesteuertes Repository für VS Code-Erweiterungen und bietet eine Alternative zum proprietären Marketplace von Microsoft. Bisher setzte das Registry auf reaktive Maßnahmen – wie nachträgliche Überprüfungen und Meldungen durch Nutzer – um bösartige Erweiterungen zu identifizieren. Die neue Richtlinie verschiebt den Fokus der Foundation hin zu einem präventiven Sicherheitsmodell, das mit den aktuellen Branchentrends zur Absicherung von Software-Supply-Chains übereinstimmt.

Obwohl die genauen technischen Details der Sicherheitsprüfungen noch nicht veröffentlicht wurden, wird erwartet, dass die Foundation eine Kombination aus folgenden Maßnahmen implementiert:

• Statische Code-Analyse zur Erkennung von Schwachstellen oder bösartigen Mustern
• Signaturverifizierung zur Sicherstellung der Authentizität von Erweiterungen
• Abhängigkeits-Scanning zur Identifizierung bekannter Schwachstellen in Drittbibliotheken
• Verhaltensanalyse zur Erkennung verdächtiger Laufzeitaktivitäten

Auswirkungen der Richtlinienänderung

Diese Maßnahme reagiert auf die wachsenden Bedenken hinsichtlich Supply-Chain-Angriffen im Open-Source-Ökosystem. Bösartige VS Code-Erweiterungen wurden in der Vergangenheit bereits für folgende Zwecke missbraucht:

• Exfiltrierung sensibler Daten (z. B. Anmeldedaten, Quellcode)
• Bereitstellung von Malware (z. B. Backdoors, Ransomware)
• Ausführung von Remote-Code auf den Systemen von Entwicklern

Durch die Einführung von Sicherheitsprüfungen vor der Veröffentlichung will die Eclipse Foundation das Risiko solcher Angriffe verringern, ohne den Open-Source-Gedanken des Registry zu beeinträchtigen. Die Wirksamkeit der Richtlinie hängt jedoch von der Gründlichkeit der implementierten Prüfungen und der Fähigkeit der Foundation ab, die Überprüfungen zu skalieren, ohne die Veröffentlichung legitimer Erweiterungen zu verzögern.

Empfehlungen für Entwickler

Sicherheitsexperten und Entwickler, die das Open VSX Registry nutzen, sollten folgende Schritte beachten:

1. Updates der Eclipse Foundation verfolgen, insbesondere zum Zeitplan der Umsetzung und den spezifischen Anforderungen für die Einreichung von Erweiterungen.
2. Bestehende Erweiterungen in ihren Workflows überprüfen, um potenzielle Schwachstellen oder bösartiges Verhalten zu identifizieren – selbst wenn diese aus vertrauenswürdigen Quellen stammen.
3. Sichere Entwicklungspraktiken bei der Erstellung von Erweiterungen anwenden, einschließlich guter Dependency-Hygiene und regelmäßiger Schwachstellen-Scans.
4. Verdächtige Erweiterungen an die Eclipse Foundation melden, um die community-gestützten Sicherheitsbemühungen zu unterstützen.

Der Schritt der Eclipse Foundation spiegelt einen branchenweiten Trend hin zu proaktiver Sicherheit in der Verteilung von Open-Source-Software wider. Ähnliche Maßnahmen wurden bereits von Plattformen wie GitHub (mit der Dependency Review API) und npm (mit verpflichtender Zwei-Faktor-Authentifizierung für Maintainer) umgesetzt.