Разработчики Eclipse Foundation, которые поддерживают Open VSX, объявили, что намерены проверять расширения Microsoft Visual Studio Code на безопасность еще до их публикации в репозитории. Эта мера должна снизить риски компрометации цепочки поставок.

Речь идет о переходе от реактивной модели (удаление вредоносных расширений по факту обнаружения) к проактивной, когда подозрительные загрузки блокируются еще на этапе публикации.

«До сих пор Open VSX в основном полагался на реагирование постфактум и расследования. Если нам сообщали о вредоносном расширении, мы изучали его и удаляли, — пишет Кристофер Гвиндон (Christopher Guindon), директор по разработке ПО в Eclipse Foundation. — Этот подход по-прежнему актуален и необходим, но он не масштабируется по мере роста объема публикаций и эволюции моделей угроз».

Дело в том, что репозитории опенсорсных пакетов и маркетплейсы расширений все чаще становятся мишенью злоумышленников. Злоумышленники используют разные методы — от тайпсквоттинга до компрометации аккаунтов издателей. К примеру, совсем недавно специалисты компании Socket предупредили, что взломанная учетная запись использовалась хакерами для загрузки в Open VSX вредоноса GlassWorm.

Внедряя превентивные проверки, разработчики хотят сократить окно для атаки и обнаруживать следующие сценарии (помещая подозрительные загрузки на карантин для дальнейшего анализа):

  • явные случаи подмены названия расширения и попытки выдать расширение за другой проект;
  • случайно опубликованные учетные данные или секреты;
  • известные вредоносные паттерны.

Следует отметить, что Microsoft уже реализовала многоступенчатый процесс проверки в Visual Studio Marketplace. Он включает сканирование входящих пакетов на малварь, затем повторное сканирование каждого свежеопубликованного пакета «вскоре после» публикации, а также периодические массовые перепроверки всех пакетов.

В Eclipse Foundation сообщили, что программа верификации расширений будет запущена поэтапно. В течение февраля 2026 года разработчики планируют отслеживать новые расширения без блокировки публикации, чтобы проверить систему, снизить число ложных срабатываний и улучшить обратную связь. Полноценное применение нового механизма начнется в марте.

«Наша цель и задача — поднять планку безопасности, помочь разработчикам обнаруживать проблемы на ранних этапах и сделать процесс предсказуемым и справедливым для добросовестных авторов, — резюмирует Гвиндон. — Превентивные проверки снижают вероятность того, что откровенно вредоносные или небезопасные расширения попадут в экосистему, что повышает доверие к Open VSX как к shared-инфраструктуре».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии