Eclipse Foundation Mandates Pre-Publish Security Checks for Open VSX Extensions

1 minute de lecture

Mis à jour : February 05, 2026

Renforcement de la sécurité pour les extensions Open VSX

La fondation Eclipse mettra en place des vérifications de sécurité avant la publication des extensions pour son registre Open VSX. Jusqu’à présent, la détection des extensions malveillantes se faisait principalement après leur publication. Ce nouveau système vise à adopter une approche proactive pour contrer les menaces liées à la chaîne d’approvisionnement logicielle, qui ciblent de plus en plus les développeurs via des places de marché d’extensions.

Points clés :

Changement de stratégie : Passage d’une approche réactive (suppression après signalement) à une approche proactive (vérification avant publication).
Motivation : Augmentation du volume de publications et évolution des menaces, rendant l’approche réactive insuffisante.
Contexte : Les registres d’extensions open source sont devenus des cibles d’attaques (usurpation de nom, typosquatting, propagation de mises à jour compromises).
Mécanisme : Les extensions suspectes seront mises en quarantaine pour examen au lieu d’être publiées immédiatement.
Déploiement : Le mois de février 2026 servira de période de surveillance sans blocage pour ajuster le système. L’application stricte débutera le mois suivant.

Vulnérabilités ciblées (scénarios identifiés pour la mise en quarantaine) :

Usurpation évidente de nom d’extension ou d’espace de noms.
Publication accidentelle de credentials ou de secrets.
Présence de schémas malveillants connus.
(Aucun CVE spécifique n’est mentionné dans l’article pour ces types de menaces dans le contexte d’Open VSX.)

Recommandations :

Mise en œuvre de vérifications de sécurité automatiques avant la publication des extensions.
Mise en quarantaine des extensions potentiellement dangereuses pour un examen manuel.
Adaptation d’un processus similaire à celui de Microsoft pour le Visual Studio Marketplace.
L’objectif est d’élever le niveau de sécurité général, d’aider les éditeurs à identifier les problèmes en amont et d’améliorer la confiance dans l’infrastructure Open VSX.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Eclipse Foundation Mandates Pre-Publish Security Checks for Open VSX Extensions

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)