أعلنت مؤسسة Eclipse، المسؤولة عن إدارة سجل Open VSX، عن خطة جديدة تلزم بإجراء فحوصات أمنية قبل نشر إضافات Visual Studio Code (VS Code) في المستودع المفتوح المصدر. هذه الخطوة تمثل تحولًا من النهج التفاعلي إلى النهج الاستباقي، بهدف منع وصول إضافات خبيثة إلى السجل قبل أن تصبح متاحة للمطورين.
حتى الآن، كان النظام يعتمد على التحقيق بعد النشر، حيث يتم التعامل مع الإضافات الضارة بعد الإبلاغ عنها. لكن مع تزايد حجم النشر وتطور نماذج التهديد، أصبح هذا النهج غير كافٍ لمواجهة التحديات المتصاعدة.
خلفيات أمنية وسياق عالمي
تأتي هذه الخطوة في وقت أصبحت فيه سجلات الحزم مفتوحة المصدر وأسواق الإضافات هدفًا رئيسيًا للهجمات، إذ يستغل المهاجمون أساليب مثل انتحال الأسماء والتشابه الكتابي (Typosquatting) لاستهداف المطورين على نطاق واسع. وقد رُصد مؤخرًا حادثة استغلال حساب ناشر مخترق لدفع تحديثات مسمومة، ما يعكس خطورة التهديدات التي تواجه بيئة التطوير.
آلية الفحص المسبق
وفقًا للمؤسسة، ستعمل الفحوصات الأمنية على رصد عدة سيناريوهات قبل النشر، منها:
- حالات واضحة لانتحال أسماء الإضافات أو المساحات.
- نشر بيانات اعتماد أو أسرار عن طريق الخطأ.
- أنماط خبيثة معروفة مسبقًا.
وبدلًا من السماح بنشر هذه الإضافات مباشرة، سيتم عزل التحميلات المشبوهة لمراجعتها، ما يقلل من نافذة التعرض للهجمات ويعزز ثقة المطورين في البنية التحتية المشتركة.
مقارنة مع سوق مايكروسوفت
من الجدير بالذكر أن مايكروسوفت تطبق بالفعل عملية تحقق متعددة المراحل في سوق Visual Studio Marketplace، تشمل فحص الحزم الواردة بحثًا عن البرمجيات الخبيثة، ثم إعادة الفحص بعد النشر، إضافة إلى عمليات فحص جماعية دورية لجميع الحزم. هذا النموذج يُعتبر مرجعًا في تعزيز الأمن، ويبدو أن مؤسسة Eclipse تسير على خطى مشابهة مع تكييفها لاحتياجات المجتمع المفتوح المصدر.
خطة التنفيذ التدريجي
برنامج التحقق الجديد سيُطبق بشكل تدريجي، حيث سيُخصص شهر فبراير 2026 لمراقبة الإضافات المنشورة حديثًا دون حجبها، وذلك بهدف تقليل الإنذارات الكاذبة وتحسين آليات التغذية الراجعة. ابتداءً من الشهر التالي، ستصبح الفحوصات إلزامية قبل النشر.
بحسب تصريحات كريستوفر غيندون، مدير تطوير البرمجيات في المؤسسة، فإن الهدف هو “رفع مستوى الأمان، مساعدة الناشرين على اكتشاف المشكلات مبكرًا، والحفاظ على تجربة عادلة ومتوقعة للناشرين ذوي النوايا الحسنة”. هذه الخطوة من شأنها أن تقلل بشكل كبير من احتمالية وصول إضافات خبيثة إلى النظام البيئي، وتعزز الثقة في سجل Open VSX كمنصة مشتركة يعتمد عليها المطورون عالميًا.
