El anuncio se produce tras el importante impulso y el crecimiento continuo del Registro Open VSX, que recientemente superó los 300 millones de descargas mensuales y se ha convertido en una infraestructura crítica para los IDE nativos de IA, los entornos de desarrollo en la nube y las plataformas compatibles con VS Code utilizadas por millones de desarrolladores en todo el mundo.
«Open VSX es una infraestructura crítica para las plataformas de desarrollo modernas, lo que lo convierte en un objetivo cada vez más atractivo para los actores maliciosos y refuerza la necesidad de una mitigación proactiva de riesgos», afirmó Mike Milinkovich, director ejecutivo de la Fundación Eclipse. «A medida que se acelera la adopción y el panorama de amenazas se vuelve más sofisticado, la investigación de seguridad responsable es esencial. Este programa crea una vía clara para que los investigadores colaboren con nosotros y sean reconocidos por proteger el ecosistema».
Fortalecimiento de la seguridad de la cadena de suministro mediante la divulgación responsable
A medida que los registros de extensiones desempeñan un papel cada vez más central en el desarrollo de software moderno, también se han convertido en parte del panorama de amenazas activas de la cadena de suministro de software. Los atacantes han demostrado su capacidad para explotar los ecosistemas de extensiones con el fin de distribuir código malicioso, comprometer entornos de desarrollo y acceder a datos confidenciales.
El Registro Open VSX ha introducido una serie de medidas de seguridad proactivas para hacer frente a estos riesgos, entre las que se incluyen la verificación previa a la publicación, la detección de patrones maliciosos y mejoras en la infraestructura para aumentar la resiliencia y la confianza.
El Programa de Reconocimiento de Investigadores de Seguridad se basa en estos esfuerzos mediante:
El fomento de la divulgación temprana y responsable de vulnerabilidades
La provisión de un proceso de notificación directo y transparente
El apoyo a la corrección coordinada con los mantenedores y las partes interesadas
El fortalecimiento de la colaboración con la comunidad global de investigación en seguridad
Reconocer públicamente las contribuciones de gran impacto
Modelo basado en el reconocimiento para apoyar a la comunidad de investigadores de seguridad
El Programa de reconocimiento de investigadores de seguridad de Open VSX está diseñado para complementar las prácticas de seguridad existentes centrándose en el reconocimiento, la transparencia y la colaboración, en lugar de en incentivos económicos.
Los colaboradores elegibles pueden recibir:
Reconocimiento público en el Salón de la Fama de Seguridad de Open VSX
Insignias digitales y certificados de reconocimiento que se pueden compartir
Recompensas promocionales basadas en el impacto y el nivel de contribución
El reconocimiento se basa en el impacto del hallazgo, la calidad del informe y el cumplimiento de las prácticas de divulgación responsable. El programa está abierto a investigadores independientes, instituciones académicas, consultoras de seguridad, colaboradores de código abierto y desarrolladores que identifiquen riesgos del mundo real en el ecosistema de Open VSX.
Apoyo a una infraestructura de desarrollo abierta y de confianza
Open VSX es un registro de extensiones independiente de proveedores, gestionado por la Fundación Eclipse, que da soporte a un ecosistema de herramientas y plataformas de desarrollo en rápida expansión. A medida que crece la dependencia de los ecosistemas de extensiones, mantener la confianza requiere tanto medidas de seguridad técnicas como una participación activa de la comunidad.
El programa refuerza el compromiso general de la Fundación Eclipse con el avance de:
La seguridad de la cadena de suministro de software
Una gobernanza transparente e independiente de los proveedores
La sostenibilidad a largo plazo de la infraestructura de código abierto
Cómo participar
Se invita a los investigadores de seguridad, desarrolladores y miembros de la comunidad a ayudar a reforzar la seguridad y la confianza del ecosistema Open VSX. El Programa de Reconocimiento de Investigadores de Open VSX ofrece una vía clara para la divulgación responsable de vulnerabilidades, junto con oportunidades para contribuir de forma más amplia al proyecto y a la comunidad.
