heise PlusAbo
Anzeige

Bugs ohne Bounty: Eclipse Foundation startet Sicherheitsprogramm fĂĽr Open VSX

Schutz für die Lieferkette: Die Eclipse Foundation motiviert Entwickler dazu, Schwachstellen in der Open VSX Registry zu finden – Geld gibt es jedoch nicht.

vorlesen Druckansicht
SchĂĽssel mit Popcorn

(Bild: Olya Detry / Shutterstock.com)

Lesezeit: 2 Min.
Developer
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Eclipse Foundation hat eine neue Initiative gestartet, um Entwicklerinnen und Entwickler zu motivieren, Schwachstellen in der Open VSX Registry zu melden. Diese herstellerunabhängige Plattform für VS-Code-Erweiterungen steht mit ihren über 300 Millionen monatlichen Downloads oft im Fokus von Lieferkettenangriffen, die versuchen, Malware über solche Extensions zu verbreiten.

Das Open VSX Security Researcher Recognition Program richtet sich an Sicherheitsforscher, Security-Teams oder Open-Source-Entwickler. Finanzielle Prämien gibt es allerdings nicht: Stattdessen belohnt Eclipse die Finder mit Einträgen in einer öffentlichen Hall of Fame, digitalen Badges und Gutscheinen – abhängig von der Relevanz der gemeldeten Lücke und der Qualität der Einreichung. Klassische Bug-Bounty-Programme bezahlen die Teilnehmenden hingegen, wie zuletzt OpenAI: Die Firma hat ihr Bug-Bounty-Programm im März gestartet und belohnt mit 250 bis 5500 US-Dollar.

Andere Projekte wie Curl verzichten inzwischen auf Bounties, weil wertlose KI-Bug-Meldungen so stark zugenommen haben, dass die Maintainer mit dem Sichten nicht mehr hinterherkommen. Curl nutzt HackerOne jetzt lediglich noch zur Verwaltung.

Videos by heise

Angriffswelle auf Extension Registries

Lieferkettenangriffe auf Extension Registries haben sich in den letzten Monaten massiv verschärft und sind mit der verbreiteten GlassWorm-Attacke Ende letzten Jahres öffentlichkeitswirksam geworden. Erweiterungen für IDEs und Code-Editoren laufen ohne Sandbox und besitzen weitreichende Berechtigungen: Sie haben Zugriff auf das System, den Quellcode und die Secrets. Das macht sie zu einem attraktiven Einstiegspunkt für Supply-Chain-Angriffe.

Open VSX hat als Reaktion darauf seit Anfang 2026 Prüfungen vor der Veröffentlichung verstärkt. Die Pakete durchlaufen mehrere Stufen:

  • Ă„hnlichkeits-Checks vergleichen Namen, um Typosquatting zu erkennen – etwa wenn jemand versucht, eine Extension „esllint“ statt „eslint“ hochzuladen.
  • Malware-Scanner prĂĽfen signaturbasiert nach bekannten Schadcode-Mustern.
  • Secrets-Scanning sucht nach versehentlich enthaltenen Token oder Zugangsdaten wie AWS-SchlĂĽsseln.

Verdächtige Uploads landen in einer Quarantäne für die manuelle Sichtung durch Admins. Als Open-Source-Projekt lässt sich Open VSX auch selbst hosten – ein Aspekt, der für europäische Unternehmen in Hinblick auf die digitale Souveränität relevant ist.

(who)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten