Ranjivost u Open VSX pipeline-u omogućila objavu zlonamernih ekstenzija kao proverenih
Cyber Press piše da je propust u novom Open VSX pre-publish scanning mehanizmu omogućavao da zlonamerne ekstenzije budu objavljene kao da su uspešno prošle bezbednosne provere. Open VSX je marketplace za ekstenzije koji koriste i platforme poput Cursor i Windsurf kao alternativu za VS Code ekosistem, pa ovakav problem direktno pogađa developerski supply chain. Greška je nastala zbog fail-open logike u kojoj sistem nije razlikovao situaciju bez aktivnih skenera od situacije u kojoj su skenerski poslovi zapravo pali, pa su ekstenzije dobijale status PASSED i postajale dostupne za preuzimanje.
Ovo je važno jer pokazuje da i bezbednosni mehanizam može postati slabost ako pod opterećenjem pogrešno tumači grešku kao uspeh. U developerskom okruženju to znači da zlonamerna ekstenzija može delovati legitimno i provereno baš onda kada zaštita u pozadini uopšte nije radila.
- Ne oslanjati se slepo na oznaku da je ekstenzija prošla proveru
- Proveravati poreklo izdavača, istoriju objava i reputaciju ekstenzije pre instalacije
- Ograničiti koje marketplace izvore i ekstenzije razvojni timovi smeju da koriste
- Kod sopstvenih bezbednosnih pipeline-ova paziti da greška u obradi vodi ka blokadi, a ne ka odobrenju
- Pratiti sumnjive ili neočekivane ekstenzije koje su objavljene u periodima većeg opterećenja sistema