FEHLER!

Eclipse Foundation startet Initiative zum Schutz der Open VSX Registry vor Angriffen

Die Eclipse Foundation hat eine neue Initiative gestartet, um Entwickler und Sicherheitsforscher zum Schutz der Open VSX Registry zu mobilisieren. Diese herstellerunabhängige Plattform für VS-Code-Erweiterungen ist mit ihren über 300 Millionen monatlichen Downloads ein attraktives Ziel für Lieferkettenangriffe, bei denen versucht wird, Malware durch gefälschte oder kompromittierte Erweiterungen zu verbreiten.

Das Open VSX Security Researcher Recognition Program richtet sich an alle interessierten Akteure im Sicherheitsbereich und bietet als Belohnung keine finanziellen Prämien wie klassische Bug-Bounty-Programme. Stattdessen werden erfolgreiche Finder in einer öffentlichen Hall of Fame geehrt, erhalten digitale Badges und je nach Relevanz der gefundenen Schwachstelle sowie der Qualität der Einreichung auch Gutscheine.

Während andere Projekte wie Curl zunehmend auf finanziell belohnende Programme verzichten, weil sie von einer Überflutung mit unwichtigen Meldungen durch KI-Modelle geplagt sind, verfolgt Eclipse hier einen anderen Ansatz – die Anerkennung und das öffentliche Würdigen der Sicherheitsforscher stehen im Vordergrund.

Der Fokus liegt dabei auf dem Schutz vor Lieferkettenangriffen, die in den letzten Monaten dramatisch an Bedeutung gewonnen haben und mit Fällen wie GlassWorm eindrucksvoll demonstriert wurden. Die weitreichenden Berechtigungen von VS-Code-Erweiterungen, die ohne Sandbox laufen und direkten Zugriff auf Systeme, Quellcode und sensible Daten haben, machen sie zu einem lukrativen Einstiegspunkt für Angreifer.

Open VSX reagiert mit verstärkten Prüfverfahren seit Anfang 2026. Bevor Erweiterungen veröffentlicht werden, durchlaufen sie mehrere Stufen: Ähnlichkeits-Checks erkennen potenzielles Typosquatting, Malware-Scanner suchen nach Schadcode-Mustern und Secrets-Scanning identifiziert versehentlich enthaltene Zugangsdaten wie AWS-Schlüssel. Verdächtige Uploads landen in einer Quarantäne, wo Administratoren sie manuell überprüfen. Als Open-Source-Projekt kann Open VSX auch selbst gehostet werden – ein Vorteil, der insbesondere für europäische Unternehmen hinsichtlich der digitalen Souveränität relevant ist.

Mit dieser Initiative stärkt die Eclipse Foundation nicht nur die Sicherheit der Open VSX Registry, sondern fördert gleichzeitig die community-basierte Sicherheitskultur und den Wissensaustausch im Bereich Software-Sicherheit.

Schlagwörter: Eclipse + Program + Fame

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 15. April 2026