🗓 الأربعاء - 4 فبراير 2026، 12:20 مساءً |
⏱ 2 دقيقة |
👁 4 مشاهدة
أعلنت مؤسسة إكليبس المسؤولة عن سجل Open VSX عزمها فرض إجراءات أمنية استباقية لفحص إضافات فيجوال ستوديو كود (VS Code) قبل نشرها في المستودع مفتوح المصدر. وتأتي هذه الخطوة الحاسمة، التي تابعها فريق تيكبامين، كجزء من استراتيجية جديدة لمكافحة تهديدات سلاسل التوريد البرمجية وحماية المطورين من البرمجيات الخبيثة.لماذا تخلت إكليبس عن الحماية التفاعلية؟يمثل هذا الإعلان تحولاً جذرياً من النهج التفاعلي السابق إلى نهج استباقي لمنع وصول الإضافات الضارة إلى سجل Open VSX. في السابق، كانت المؤسسة تعتمد على الاستجابة بعد النشر، حيث يتم التحقيق في الإضافات وإزالتها فقط بعد الإبلاغ عنها.وأوضح كريستوفر جيندون، مدير تطوير البرمجيات في مؤسسة إكليبس، أن الأسلوب القديم لم يعد كافياً مع زيادة حجم النشر وتطور نماذج التهديدات الأمنية التي تستهدف بيئات التطوير.مخاطر الاعتماد على الاستجابة اللاحقةأصبحت سجلات الحزم مفتوحة المصدر وأسواق الإضافات أهدافاً رئيسية للمهاجمين، مما دفع المؤسسة لتغيير استراتيجيتها للحد من نافذة التعرض للمخاطر وعزل الملفات المشبوهة للمراجعة بدلاً من نشرها فوراً.كيف يهدد القراصنة بيئة تطوير البرمجيات؟يستغل الفاعلون السيئون الثغرات في أسواق الإضافات لاستهداف المطورين على نطاق واسع باستخدام أساليب خادعة متنوعة لسرقة البيانات أو زرع أبواب خلفية في المشاريع البرمجية.وتشمل أبرز التهديدات التي يرصدها نظام الفحص الجديد ما يلي:انتحال أسماء النطاقات: استخدام أسماء مشابهة لشركات موثوقة لخداع المطورين.التلاعب بالأحرف (Typosquatting): استغلال الأخطاء المطبعية الشائعة لتحميل إضافات خبيثة بدلاً من الأصلية.اختراق حسابات الناشرين: استخدام حسابات موثوقة لدفع تحديثات مسمومة، كما حدث مؤخراً في حوادث أمنية مشابهة.ما الفرق بين إجراءات إكليبس ومايكروسوفت؟تجدر الإشارة إلى أن شركة مايكروسوفت تطبق بالفعل عملية تدقيق متعددة الخطوات في متجر Visual Studio Marketplace الخاص بها لضمان سلامة الإضافات.وتتضمن عملية مايكروسوفت الخطوات التالية:فحص الحزم الواردة بحثاً عن البرمجيات الخبيثة قبل النشر.إعادة فحص كل حزمة منشورة حديثاً بعد وقت قصير من توفرها.إجراء عمليات إعادة فحص دورية وشاملة لجميع الحزم الموجودة في المتجر.متى سيتم تطبيق نظام الفحص الجديد؟أشارت التقارير التي اطلع عليها تيكبامين إلى أن برنامج التحقق من الإضافات سيتم طرحه بشكل مرحلي لضمان استقرار النظام وعدم تعطيل المطورين الشرعيين.وسيستخدم القائمون على المشروع شهر فبراير 2026 لمراقبة الإضافات المنشورة حديثاً دون حظر النشر، وذلك بهدف ضبط النظام وتقليل النتائج الإيجابية الخاطئة، على أن يبدأ التنفيذ الفعلي والحظر في الشهر التالي. ويهدف هذا النظام إلى رفع مستوى الأمان وزيادة الثقة في Open VSX كبنية تحتية مشتركة للمطورين.