Eclipse基金会将对开源VSX扩展实施发布前安全检查

Eclipse基金会宣布计划对开源VSX注册表强制实施安全检查机制，要求Microsoft Visual Studio Code扩展在发布到开源存储库之前必须通过安全检查，以应对供应链威胁。

这一举措标志着Eclipse基金会从被动响应转向主动防护，确保恶意扩展不会在Open VSX注册表上发布。

Eclipse基金会软件开发总监Christopher Guindon表示："到目前为止，Open VSX注册表主要依赖发布后响应和调查机制。当有恶意扩展被举报时，我们会进行调查并移除。虽然这种方法仍然相关且必要，但随着发布量增加和威胁模式演变，这种做法已无法有效扩展。"

这一变化的背景是开源软件包注册表和扩展市场日益成为攻击目标，恶意行为者通过命名空间冒充和错字域名抢注等多种方式大规模针对开发者实施攻击。就在上周，Socket还标记了一起利用被入侵发布者账户推送恶意更新的事件。

通过实施发布前检查，Eclipse基金会旨在缩小暴露窗口期，并标记以下场景，将可疑上传内容隔离审查而非立即发布：

明显的扩展名称或命名空间冒充案例

意外发布的凭证或密钥信息

已知的恶意模式

值得注意的是，微软已经为其Visual Studio市场建立了类似的多步验证流程，包括扫描传入包以检测恶意软件，然后在新发布包"短时间"后重新扫描，以及定期对所有包进行批量重新扫描。

扩展验证程序预计将分阶段推出。维护者将使用2026年2月来监控新发布的扩展而不阻止发布，以微调系统、减少误报并改进反馈机制。强制执行将于下月开始。

Guindon表示："目标和意图是提高安全底线，帮助发布者及早发现问题，并为诚信发布者保持可预测和公平的体验。发布前检查降低了明显恶意或不安全扩展进入生态系统的可能性，这增强了人们对Open VSX注册表作为共享基础设施的信心。"

Q&A

Q1：Open VSX注册表是什么？为什么要加强安全检查？

A：Open VSX注册表是Eclipse基金会维护的开源VS Code扩展存储库。由于开源扩展市场日益成为攻击目标，恶意行为者通过命名空间冒充等方式大规模攻击开发者，因此需要从被动防护转向主动安全检查。

Q2：发布前安全检查会检测哪些问题？

A：主要检测三类问题：明显的扩展名称或命名空间冒充案例、意外发布的凭证或密钥信息，以及已知的恶意模式。系统会将可疑上传内容隔离审查而非立即发布。

Q3：这个安全检查机制什么时候开始实施？

A：该程序将分阶段推出，2026年2月为监控调试期，期间不会阻止发布以便微调系统和减少误报。正式的强制执行将从2026年3月开始。