Eclipse Foundation внедряет предварительные проверки безопасности для расширений Open VSX

Фонд Eclipse объявил о новом требовании к безопасности, обязывающем проводить предварительные проверки перед публикацией всех расширений в Open VSX Registry — альтернативе с открытым исходным кодом для Visual Studio Code (VS Code) Marketplace от Microsoft. Эта проактивная мера направлена на снижение угроз цепочки поставок путём предотвращения публикации вредоносных расширений.

Основные детали

• Кто: Фонд Eclipse (поддерживает Open VSX Registry)
• Что: Обязательные предпубликационные проверки безопасности для расширений VS Code
• Когда: Политика начнёт действовать в ближайшие месяцы (точная дата будет объявлена позже)
• Почему: Для борьбы с атаками на цепочку поставок, направленными на инструменты разработки с открытым исходным кодом
• Где: Применяется ко всем расширениям, отправляемым в Open VSX Registry

Технический контекст

Open VSX Registry — это репозиторий расширений для VS Code, управляемый сообществом и предлагающий альтернативу проприетарному Marketplace от Microsoft. Ранее реестр полагался на реактивные меры — такие как постпубликационные проверки и отчёты пользователей — для выявления вредоносных расширений. Новая политика переводит фонд на превентивную модель безопасности, что соответствует общеотраслевым тенденциям по укреплению цепочек поставок программного обеспечения.

Хотя технические детали проверок пока не раскрываются, ожидается, что фонд внедрит комбинацию следующих мер:

• Статический анализ кода для выявления уязвимостей или вредоносных шаблонов
• Проверку подписей для подтверждения подлинности расширений
• Сканирование зависимостей для обнаружения известных уязвимостей в сторонних библиотеках
• Поведенческий анализ для выявления подозрительной активности во время выполнения

Анализ влияния

Эта политика решает растущие опасения по поводу атак на цепочку поставок в экосистеме открытого исходного кода. Вредоносные расширения для VS Code ранее использовались в кампаниях для:

• Эксфильтрации конфиденциальных данных (например, учётных данных, исходного кода)
• Развёртывания вредоносного ПО (например, бэкдоров, программ-вымогателей)
• Удалённого выполнения кода на системах разработчиков

Внедряя предпубликационные проверки, Фонд Eclipse стремится снизить риск таких атак, сохраняя при этом открытую природу реестра. Однако эффективность политики будет зависеть от строгости реализованных проверок и способности фонда масштабировать процесс без задержек для легитимных расширений.

Рекомендации для разработчиков

Специалисты по безопасности и разработчики, использующие Open VSX Registry, должны:

1. Следить за обновлениями от Фонда Eclipse относительно сроков внедрения и конкретных требований к отправке расширений.
2. Проверять существующие расширения в своих рабочих процессах на наличие уязвимостей или вредоносного поведения, даже если они получены из доверенных репозиториев.
3. Применять безопасные практики кодирования при разработке расширений, включая гигиену зависимостей и регулярное сканирование уязвимостей.
4. Сообщать о подозрительных расширениях в Фонд Eclipse для поддержки усилий по обеспечению безопасности на уровне сообщества.

Инициатива Фонда Eclipse отражает общеотраслевой сдвиг в сторону проактивной безопасности при распространении программного обеспечения с открытым исходным кодом. Подобные меры уже внедрены на таких платформах, как GitHub (с Dependency Review API) и npm (с обязательной двухфакторной аутентификацией для мейнтейнеров).