背景：高まるサプライチェーンの脅威

オープンソースのパッケージレジストリや拡張機能マーケットプレイスは、近年攻撃の標的となりやすくなっています。悪意のあるアクターは、名前空間のなりすましやタイポスクワッティングなど、さまざまな手法を用いて開発者を大規模に標的としています。先週も、Socketが報告した事例では、侵害されたパブリッシャーのアカウントが汚染されたアップデートをプッシュするために使用されました。

Eclipse Foundationの新たな取り組み

Open VSX Registryを管理するEclipse Foundationは、サプライチェーンの脅威に対抗するため、Microsoft Visual Studio Code（VS Code）拡張機能のオープンソースリポジトリへの公開前にセキュリティチェックを義務付ける計画を発表しました。これは、悪意のある拡張機能がOpen VSX Registryに公開されるのを防ぐための、リアクティブなアプローチからプロアクティブなアプローチへの転換を示すものです。

「これまで、Open VSX Registryは主に公開後の対応と調査に依存していました。悪質な拡張機能が報告された場合、我々は調査して削除していました」と、Eclipse Foundationのソフトウェア開発ディレクターであるクリストファー・ギンドン氏は述べています。「このアプローチは引き続き関連性があり必要ですが、公開量が増加し、脅威モデルが進化するにつれて、規模が拡大しません。」

公開前チェックの目的と内容

この公開前チェックは、露出期間を制限し、以下のシナリオを特定することを目的としています。また、疑わしいアップロードは、即時公開せずにレビューのために隔離されます。

• 拡張機能名または名前空間の明白ななりすまし
• 誤って公開された認証情報またはシークレット
• 既知の悪意のあるパターン

この変更により、システムに明らかに悪意のある、または安全でない拡張機能が混入する可能性が低減され、共有インフラとしてのOpen VSX Registryへの信頼が高まります。

Microsoftの既存の取り組みと比較

注目すべきは、MicrosoftがすでにVisual Studio Marketplaceで同様の多段階検証プロセスを実施している点です。これには、受信パッケージのマルウェアスキャン、新しく公開されたパッケージの公開直後の再スキャン、およびすべてのパッケージの定期的な一括再スキャンが含まれます。

今後の展開

この拡張機能検証プログラムは、段階的に展開される予定です。メンテナンス担当者は、2026年2月中に、システムを微調整し、誤検知を減らし、フィードバックを改善するために、公開をブロックせずに新しく公開された拡張機能を監視します。義務付けは来月から開始されます。

「目標と意図は、セキュリティレベルを向上させ、パブリッシャーが問題を早期に発見できるよう支援し、善意のパブリッシャーにとって予測可能で公平な体験を維持することです」とギンドン氏は述べています。

---

元記事: https://thehackernews.com/2026/02/eclipse-foundation-mandates-pre-publish.html