📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Eclipse Foundation, que mantém o Open VSX Registry, anunciou planos para aplicar verificações de segurança antes que as extensões do Microsoft Visual Studio Code (VS Code) sejam publicadas no repositório de código aberto para combater ameaças à cadeia de suprimentos.
A mudança marca uma mudança de uma abordagem reativa para uma abordagem proativa para garantir que extensões maliciosas não acabem sendo publicadas no Open VSX Registry.
“Até agora, o Open VSX Registry se baseou principalmente na resposta e investigação pós-publicação. Quando uma extensão incorreta é relatada, nós a investigamos e a removemos”, disse Christopher Guindon, diretor de desenvolvimento de software da Eclipse Foundation.
“Embora esta abordagem permaneça relevante e necessária, ela não aumenta à medida que o volume de publicações aumenta e os modelos de ameaças evoluem”.
A mudança ocorre no momento em que os registros de pacotes de código aberto e os mercados de extensões se tornam cada vez mais ímãs de ataque, permitindo que atores mal-intencionados atinjam desenvolvedores em grande escala por meio de uma variedade de métodos, como representação de namespace e typosquatting. Na semana passada, o Socket sinalizou um incidente em que a conta de um editor comprometido foi usada para enviar atualizações envenenadas.
Ao implementar verificações de pré-publicação, a ideia é limitar a janela de exposição e sinalizar os seguintes cenários, bem como colocar em quarentena uploads suspeitos para revisão, em vez de publicá-los imediatamente -
Limpar casos de nome de extensão ou representação de namespace
Credenciais ou segredos publicados acidentalmente
Padrões maliciosos conhecidos
É importante notar que a Microsoft já possui um processo de verificação semelhante em várias etapas para seu Visual Studio Marketplace. Isso inclui a verificação de pacotes recebidos em busca de malware e, em seguida, uma nova verificação de cada pacote recém-publicado "logo" após sua publicação e uma nova verificação periódica em massa de todos os pacotes.
Espera-se que o programa de verificação de extensões seja implementado de forma gradual, com os mantenedores usando o mês de fevereiro de 2026 para monitorar extensões recém-publicadas sem bloquear a publicação para ajustar o sistema, reduzir falsos positivos e melhorar o feedback. A fiscalização começará no próximo mês.
“O objetivo e a intenção são aumentar o nível de segurança, ajudar os editores a detectar problemas antecipadamente e manter a experiência previsível e justa para os editores de boa fé”, disse Guindon.
“As verificações pré-publicação reduzem a probabilidade de extensões obviamente maliciosas ou inseguras entrarem no ecossistema, o que aumenta a confiança no Open VSX Registry como infraestrutura compartilhada.”
A mudança marca uma mudança de uma abordagem reativa para uma abordagem proativa para garantir que extensões maliciosas não acabem sendo publicadas no Open VSX Registry.
“Até agora, o Open VSX Registry se baseou principalmente na resposta e investigação pós-publicação. Quando uma extensão incorreta é relatada, nós a investigamos e a removemos”, disse Christopher Guindon, diretor de desenvolvimento de software da Eclipse Foundation.
“Embora esta abordagem permaneça relevante e necessária, ela não aumenta à medida que o volume de publicações aumenta e os modelos de ameaças evoluem”.
A mudança ocorre no momento em que os registros de pacotes de código aberto e os mercados de extensões se tornam cada vez mais ímãs de ataque, permitindo que atores mal-intencionados atinjam desenvolvedores em grande escala por meio de uma variedade de métodos, como representação de namespace e typosquatting. Na semana passada, o Socket sinalizou um incidente em que a conta de um editor comprometido foi usada para enviar atualizações envenenadas.
Ao implementar verificações de pré-publicação, a ideia é limitar a janela de exposição e sinalizar os seguintes cenários, bem como colocar em quarentena uploads suspeitos para revisão, em vez de publicá-los imediatamente -
Limpar casos de nome de extensão ou representação de namespace
Credenciais ou segredos publicados acidentalmente
Padrões maliciosos conhecidos
É importante notar que a Microsoft já possui um processo de verificação semelhante em várias etapas para seu Visual Studio Marketplace. Isso inclui a verificação de pacotes recebidos em busca de malware e, em seguida, uma nova verificação de cada pacote recém-publicado "logo" após sua publicação e uma nova verificação periódica em massa de todos os pacotes.
Espera-se que o programa de verificação de extensões seja implementado de forma gradual, com os mantenedores usando o mês de fevereiro de 2026 para monitorar extensões recém-publicadas sem bloquear a publicação para ajustar o sistema, reduzir falsos positivos e melhorar o feedback. A fiscalização começará no próximo mês.
“O objetivo e a intenção são aumentar o nível de segurança, ajudar os editores a detectar problemas antecipadamente e manter a experiência previsível e justa para os editores de boa fé”, disse Guindon.
“As verificações pré-publicação reduzem a probabilidade de extensões obviamente maliciosas ou inseguras entrarem no ecossistema, o que aumenta a confiança no Open VSX Registry como infraestrutura compartilhada.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #eclipse #foundation #exige #verificações #de #segurança #prépublicação #para #extensões #vsx #abertas
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário