概要
Eclipse Foundationは、VS Code互換プラットフォーム向け拡張機能レジストリ「Open VSX Registry」のセキュリティを強化するため、「セキュリティ研究者認定プログラム(Security Researcher Recognition Program)」を正式に発表した。このプログラムは、脆弱性の責任ある開示(Responsible Disclosure)を奨励しつつ、世界中のセキュリティ研究者による貢献を公式に表彰することを目的としている。
Open VSX Registryは直近で月間ダウンロード数3億件を突破し、AIネイティブIDEを含む多数の開発者プラットフォームにとって重要なインフラとなっている。Eclipse FoundationのエグゼクティブディレクターであるMike Milinkovichは「Open VSXは現代の開発者プラットフォームにとって重要なインフラであり、悪意ある行為者にとってますます魅力的なターゲットになっている」とコメントし、プロアクティブなセキュリティ対策の必要性を強調した。
プログラムの仕組みと参加対象
プログラムの核心は、脆弱性を安全に報告するための透明性のある経路の整備だ。報告した研究者は「Security Hall of Fame(セキュリティ殿堂)」への掲載という形で公式に表彰されるほか、影響度に応じてデジタルバッジ、証明書、グッズなどが授与される。金銭的な報奨金(バグバウンティ)ではなく、認知・表彰を重視した設計となっている点が特徴的だ。
参加対象は独立したセキュリティ研究者、学術機関、セキュリティコンサルタント会社、オープンソースコントリビューター、そして実際にエコシステムリスクを発見した開発者と幅広い。
背景:拡張機能レジストリへのサプライチェーン攻撃リスク
拡張機能レジストリはサプライチェーン攻撃の標的として注目されており、攻撃者が悪意あるコードを正規パッケージに紛れ込ませて開発環境を侵害するリスクが高まっている。今回の取り組みは、外部の目を活用することでそうしたリスクへの対処能力を高めようとするものだ。Eclipse Foundationはベンダーニュートラルなガバナンスのもとでオープンソースインフラの持続可能性を重視しており、本プログラムはその姿勢を具体的に示した施策といえる。