کمیته رکن چهارم– بنیاد اکلیپس اعلام کرد که پس از کشف تعدادی توکن فاششده در مخازن افزونههای Open VSX، دسترسی آنها را لغو کرده و اقدامات امنیتی جدیدی را برای محافظت از زنجیره تأمین نرمافزار آغاز کرده است.
به گزارش کمیته رکن چهارم، این اقدام پس از هشدار شرکت Wiz انجام شد که نشان میداد برخی افزونههای منتشرشده در مارکت VS Code بهطور ناخواسته توکنهای دسترسی خود را افشا کردهاند. این آسیبپذیری میتوانست به مهاجمان امکان دهد تا کنترل افزونهها را در دست بگیرند و بدافزار منتشر کنند.
بررسیها نشان داد که افشای توکنها بهدلیل خطای توسعهدهندگان بوده و زیرساخت Open VSX مورد نفوذ قرار نگرفته است. برای کاهش ریسکهای آینده، فرمت جدیدی با پیشوند ovsxp_ برای توکنها معرفی شده تا شناسایی آنها سادهتر شود. همچنین، افزونههایی که در کمپین GlassWorm توسط Koi Security بهعنوان آلوده شناسایی شده بودند، از مخزن حذف شدهاند.
پلتفرم Open VSX در راستای افزایش امنیت اعلام کرده که مدت اعتبار توکنها کاهش مییابد، فرآیند لغو آنها سادهتر میشود و انتشار افزونهها با اسکن خودکار برای کشف کدهای مشکوک همراه خواهد بود.
بنیاد اکلیپس تأکید کرده است که افزایش ایمنی در زنجیره تأمین نرمافزار تنها با همکاری توسعهدهندگان و نگهدارندگان پلتفرم ممکن است. این رخداد بار دیگر لزوم مراقبت بیشتر از اطلاعات حساس مانند توکنها و کلیدها در پروژههای متنباز را یادآوری میکند.
