Die Eclipse Foundation hat beschlossen, einen bedeutenden Schritt zu unternehmen, um die Sicherheit ihres Open VSX Erweiterungs-Repository zu verschärfen, der alternativen Platte, in der Zubehör-kompatible mit Visual Studio Code veröffentlicht werden. Bisher war die Dynamik im Wesentlichen reaktionsfähig: als eine bösartige Erweiterung erkannt wurde, wurde sie untersucht und zurückgezogen. Es wird nun angenommen, die Pakete zu überprüfen, bevor sie öffentlich zugänglich werden, mit dem Ziel, das Belichtungsfenster zu reduzieren und die Ausbreitung von schädlichem Code in der Lieferkette zu stoppen.
Die Idee hinter diesen Vorveröffentlichungsprüfungen ist einfach, aber mächtig: abfangen klare Anzeichen von Problemen - von Namen supplant versucht, versehentlich Geheimnisse enthalten - bevor eine Erweiterung Millionen von Entwicklern erreicht. Laut dem Team der Eclipse Foundation will diese Strategie das Mindestniveau der Registrierungssicherheit erhöhen und mehr Vertrauen in Open VSX als gemeinsame Infrastruktur bieten. Sie können die offizielle Veröffentlichung und technische Details auf dem Blog der Eclipse Foundation lesen Hier..
Veränderungen kommen nicht im Vakuum. Paket-Repositories und Märkte haben sich zu niedrigen Kosten und hohe Auswirkungen Ziele für schädliche Akteure: Es ist genug, um eine infizierte Erweiterung oder Paket einzuführen oder als legitimer Autor, Tausende oder Millionen von Benutzern zu erreichen. Vorherige Großereignisse wie die kompromissive Kampagne gegen SolarWinds, die die Software-Versorgungskette beeinflusste, machten deutlich, dass das implizite Vertrauen in Komponenten und Distributionen mit ernsten Konsequenzen ausgenutzt werden kann; in diesem Fall gibt es eine Analyse und öffentliche Bekanntmachung der Behörden. Hier..
Ein weiterer nützlicher Hinweis auf das Verständnis des Gesamtkontexts von Supply Chain Bedrohungen ist die Arbeit der Sicherheitsgemeinschaft: Projekte wie die OWASP auf Software-Lieferkettensicherheit Sie sammeln Angriffsmuster und gute Praktiken, um sie zu mildern. Im Falle von Erweiterungsaufzeichnungen umfassen die meisten wiederkehrenden Vektoren die Namensaufklärung (Namespace-Impersonation), die Fehlerpublikation von Anmeldeinformationen innerhalb des Codes und identifizierbare Verhaltensmuster, die mit schädlichen Paketen verbunden sind.
Um nicht zu verhindern, dass Entwickler in gutem Glauben irrtümlich blockiert werden, hat die Eclipse Foundation beschlossen, die neue Verifikation allmählich einzusetzen. Im Februar 2026 wird das System im Beobachtungsmodus funktionieren: Die neu hochgeladenen Publikationen werden überwacht, ohne dass ihre sofortige Verfügbarkeit verhindert wird, wodurch Regeln verfeinert, falsche Positive reduziert und die Nachrichten, die an die Autoren zurückgegeben werden, verbessert werden können. Die Absicht besteht darin, die effektive Umsetzungsphase im folgenden Monat zu beginnen und so einen Zeitraum sowohl technischer als auch gemeinschaftlicher Anpassung zu geben.
Diese Phase ist wichtig weil automatische Kontrollen viele offensichtliche Probleme fangen können, aber sie können auch Reibung erzeugen, wenn sie nicht gut kalibriert sind. Codegeheimdetektoren, Namens- oder heuristische Vergleichssysteme, die auf verdächtige Muster hinweisen, müssen mit klaren menschlichen Prozessen und Beschwerdewegen kombiniert werden, so dass legitime Entwickler keine unnötigen Unterbrechungen erleiden.
Es ist kein exklusives Open VSX Experiment. Microsoft nutzt bereits einen Validierungsprozess in seinem eigenen Erweiterungsmarkt, mit ersten Scans, Rescans kurz nach der Veröffentlichung und regelmäßigen Audits auf das gesamte Paket corpus, wie vom Unternehmen in seiner Dokumentation über Sicherheit und Vertrauen des Marktes beschrieben. Hier.. Das Lernen von bestehenden Praktiken und die Anpassung von Maßnahmen, die in anderen Ökosystemen arbeiten, hilft nicht, Fehler zu wiederholen und einheitlichere Antworten auf gemeinsame Bedrohungen zu konsolidieren.
Was kann die Entwickler-Community, die auf Open VSX veröffentlicht erwarten? In der Praxis, wenn das System einen Anstieg mit problematischen Signalen identifiziert, kann die Erweiterung in einem Überprüfungsschwanz oder in temporärer Quarantäne verbleiben, bis zusätzliche Kontrollen durchgeführt werden. Motifs kann von offensichtlichen Übereinstimmungen mit beliebten Erweiterungsnamen reichen - eine mögliche supplanting - bis hin zur Anwesenheit von Schlüsseln oder Token im Paket, oder Muster, die Erkennungstools als bösartig betrachten. Für gute Glaubensautoren wird dies einen weiteren Schritt zum Publikationsfluss hinzufügen, aber die angegebene Absicht besteht darin, dass der Prozess vorhersehbar und fair ist und nützliches Feedback bietet, um die Veröffentlichung zu korrigieren und wiederherzustellen.
Die Nachrichten eröffnen auch eine umfassendere Diskussion über die Balance von Sicherheit, einfacher Veröffentlichung und Transparenz. Die zunehmende Verifikation reduziert Risiken, erfordert jedoch Ressourcen, Wartung und klare Governance, um Vorurteile bei Erkennungen zu vermeiden. Darüber hinaus sind die Privatsphäre der in den zu analysierenden Paketen enthaltenen Informationen und der Schutz der Autorenrechte Aspekte, die bei der operativen Umsetzung berücksichtigt werden müssen.
Kurz gesagt, die Eclipse-Stiftung ist es, von einem Reaktiv in eine proaktive Position zu bewegen durch Anwendung automatisierter Kontrollen vor der Veröffentlichung und Kombination mit menschlichen Bewertungen, falls erforderlich. Wenn es mit einer Sensibilität für die Entwickler und mit Transparenz auf Kriterien und Berufungspfaden ausgeführt wird, kann es das Vertrauen in Open VSX erhöhen und das Risiko von schädlichen Erweiterungen reduzieren, die die Maschinen der Benutzer erreichen. Für diejenigen, die das Register selbst und seine Operation konsultieren möchten, ist die offizielle Open VSX Website verfügbar Hier..
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...