Eclipse基金会强制实施Open VSX扩展发布前安全审查

Eclipse基金会近日宣布了一项新的安全规定，要求对提交至Open VSX Registry（微软Visual Studio Code（VS Code）Marketplace的开源替代方案）的所有扩展进行发布前安全审查。此项主动措施旨在通过防止恶意扩展发布，从源头上缓解供应链威胁。

关键细节

• 责任方：Eclipse基金会（Open VSX Registry维护者）
• 措施：强制实施VS Code扩展发布前安全审查
• 时间：政策将于未来数月内执行（具体日期待定）
• 目的：应对针对开源开发工具的供应链攻击
• 范围：适用于所有提交至Open VSX Registry的扩展

技术背景

Open VSX Registry是一个社区驱动的VS Code扩展仓库，为开发者提供了微软官方Marketplace的替代方案。历史上，该仓库依赖于被动安全措施，如发布后审查和用户举报，来识别恶意扩展。此次新政策将基金会的安全模式转向预防性安全模型，与业界加强软件供应链安全的趋势保持一致。

尽管具体的安全审查技术细节尚未公开，预计Eclipse基金会将采用以下组合措施：

• 静态代码分析：检测漏洞或恶意模式
• 签名验证：确保扩展的真实性
• 依赖项扫描：识别第三方库中的已知漏洞
• 行为分析：标记可疑的运行时活动

影响分析

此次政策变化旨在应对开源生态系统中日益严重的供应链攻击问题。历史上，恶意VS Code扩展曾被用于以下攻击活动：

• 窃取敏感数据（如凭证、源代码）
• 部署恶意软件（如后门、勒索软件）
• 在开发者系统上执行远程代码

通过强制实施发布前审查，Eclipse基金会旨在降低此类攻击的风险，同时保持仓库的开源精神。然而，政策的有效性将取决于审查的严格程度，以及基金会在不延误合法扩展发布的前提下扩展审查能力的水平。

开发者建议

使用Open VSX Registry的安全专家和开发者应采取以下措施：

1. 关注更新：密切关注Eclipse基金会关于政策落地时间表及扩展提交具体要求的公告。
2. 审查现有扩展：检查工作流中使用的现有扩展是否存在潜在漏洞或恶意行为，即使这些扩展来自可信仓库。
3. 采用安全编码实践：在开发扩展时遵循安全编码规范，包括依赖项管理和定期漏洞扫描。
4. 报告可疑扩展：向Eclipse基金会报告可疑扩展，支持社区驱动的安全工作。

Eclipse基金会的此次举措反映了开源软件分发领域向主动安全转变的行业趋势。类似的措施已被GitHub（通过Dependency Review API）和npm（通过维护者强制双因素认证）等平台采用。