Eclipse Foundation、Open VSX拡張機能に事前公開セキュリティチェックを導入

Eclipse Foundationは、Open VSX Registry（MicrosoftのVisual Studio Code（VS Code）Marketplaceに代わるオープンソースの代替プラットフォーム）に提出されるすべての拡張機能に対して、事前公開セキュリティチェックを義務付ける新しいセキュリティポリシーを発表しました。この先制的な対策は、サプライチェーン脅威を防ぐことを目的としており、悪意のある拡張機能が公開されるのを未然に防ぐことを目指しています。

主な詳細

• 誰が：Eclipse Foundation（Open VSX Registryの管理者）
• 何を：VS Code拡張機能に対する事前公開セキュリティチェックの義務化
• いつ：ポリシーの施行は今後数ヶ月以内（正確な日付は未定）
• なぜ：オープンソース開発ツールを標的としたサプライチェーン攻撃に対抗するため
• どこで：Open VSX Registryに提出されるすべての拡張機能に適用

技術的背景

Open VSX Registryは、VS Code拡張機能のためのコミュニティ主導のリポジトリであり、Microsoftの独自Marketplaceに代わる選択肢を提供しています。これまでは、悪意のある拡張機能を特定するために、公開後のレビューやユーザーからの報告といったリアクティブな対策に依存していました。この新しいポリシーにより、Eclipse Foundationは予防的セキュリティモデルへと移行し、ソフトウェアサプライチェーンを強化する業界のトレンドに沿った取り組みを行います。

セキュリティチェックの具体的な技術的詳細は明らかにされていませんが、以下のような手法の組み合わせが実装されると予想されています：

• 静的コード解析：脆弱性や悪意のあるパターンを検出
• 署名検証：拡張機能の信頼性を確保
• 依存関係スキャン：サードパーティライブラリにおける既知の脆弱性を特定
• 動作分析：実行時に疑わしい動作を検出

影響分析

このポリシー変更は、オープンソースエコシステムにおけるサプライチェーン攻撃に対する懸念の高まりに対応するものです。過去には、悪意のあるVS Code拡張機能が以下のような攻撃に利用されてきました：

• 機密データの流出（例：認証情報、ソースコード）
• マルウェアの展開（例：バックドア、ランサムウェア）
• 開発者システム上でのリモートコード実行

事前公開チェックを義務化することで、Eclipse Foundationはこのような攻撃のリスクを低減しつつ、レジストリのオープンソースとしての理念を維持することを目指しています。ただし、このポリシーの有効性は、実装されるチェックの厳格さと、正当な拡張機能の公開を遅延させることなくレビューを拡大できるかどうかにかかっています。

開発者への推奨事項

Open VSX Registryを利用するセキュリティ専門家や開発者は、以下の対策を講じることを推奨します：

1. 最新情報の確認：Eclipse Foundationからのロールアウトスケジュールや拡張機能提出に関する具体的な要件について、最新情報を確認する。
2. 既存拡張機能のレビュー：信頼できるリポジトリから入手したものであっても、ワークフローで使用している拡張機能に潜在的な脆弱性や悪意のある動作がないか確認する。
3. セキュアコーディングの実践：依存関係の管理や定期的な脆弱性スキャンを含む、セキュアなコーディングプラクティスを採用する。
4. 不審な拡張機能の報告：コミュニティ主導のセキュリティ強化を支援するため、不審な拡張機能をEclipse Foundationに報告する。

Eclipse Foundationのこの取り組みは、オープンソースソフトウェアの配布におけるプロアクティブセキュリティへの業界全体のシフトを反映しています。同様の対策は、GitHub（Dependency Review API）やnpm（メンテナ向けの二要素認証の義務化）などのプラットフォームでも採用されています。