La Fundación Eclipse, que gestiona el Registro Open VSX, anunció planes para realizar controles de seguridad antes de que se publiquen las extensiones de Microsoft Visual Studio Code (VS Code) en repositorios de código abierto para combatir las amenazas a la cadena de suministro.
Este movimiento marca un cambio de un enfoque reactivo a uno proactivo para garantizar que las extensiones maliciosas no se publiquen en el registro Open VSX.
«Hasta ahora, el Registro Open VSX se ha basado principalmente en la respuesta e investigación posterior a la publicación. Cuando se informa sobre extensiones maliciosas, las investigamos y las eliminamos», dijo Christopher Guindon, director de desarrollo de software de la Fundación Eclipse.
«Si bien este enfoque sigue siendo relevante y necesario, no se amplía a medida que aumenta el volumen de publicaciones y evolucionan los modelos de amenazas».
Este cambio se produce cuando los registros de paquetes de código abierto y los mercados de extensiones son cada vez más objeto de ataques, lo que permite a partes malintencionadas atacar a los desarrolladores a escala a través de una variedad de métodos, incluida la suplantación de espacios de nombres y la typosquatting. La semana pasada, Socket informó un incidente en el que se utilizó una cuenta de editor comprometida para enviar actualizaciones dañinas.
Al implementar controles previos a la publicación, nuestro objetivo es limitar el alcance de la publicación, señalar los siguientes escenarios y aislar las cargas sospechosas para su revisión en lugar de publicarlas inmediatamente.
Caso claro de suplantación de nombres de extensiones o espacios de nombres Credenciales o secretos expuestos accidentalmente Patrones maliciosos conocidos
Vale la pena señalar que Microsoft ya ha implementado un proceso de revisión de varios pasos similar para Visual Studio Marketplace. Esto incluye escanear paquetes entrantes en busca de malware, volver a escanear todos los paquetes recientemente publicados inmediatamente después de su publicación y volver a escanear periódicamente todos los paquetes de forma masiva.
El programa de validación de extensiones se implementará por etapas y los mantenedores utilizarán febrero de 2026 para monitorear las extensiones recién publicadas sin bloquear la publicación, ajustar el sistema, reducir los falsos positivos y mejorar la retroalimentación. La aplicación de la ley comenzará el próximo mes.
«La meta y el objetivo es elevar el nivel de seguridad, ayudar a los editores a detectar problemas tempranamente y mantener la experiencia predecible y justa para los editores honestos», dijo Guindon.
«Las comprobaciones previas a la publicación reducen la posibilidad de que extensiones obviamente maliciosas o inseguras ingresen al ecosistema y aumentan la confianza en Open VSX Registry como infraestructura compartida».
Source link
