С 2020 года сообщество создало более четырех тысяч плагинов и тем, а общее число их установок превысило 120 миллионов. Инструменты на базе ИИ ускорили разработку, и небольшая команда разработчиков перестала справляться с ручной проверкой, которая к тому же раньше касалась только первой версии расширения.

Главным нововведением стала система автоматических проверок. Теперь она анализирует каждое обновление на соответствие правилам для авторов, оценивает качество кода и выявляет уязвимости или вредоносные программы.

Источник изображения: obsidian.md

Результат проверки отображается в карточке безопасности на странице каждого расширения. Это позволяет пользователю заранее оценить его надежность. Ручная модерация сохранится только для популярных и рекомендованных проектов, а также для тех, на которые поступили жалобы. Все ранее опубликованные расширения прошли повторную проверку. Проекты, не соответствующие новым стандартам, временно освобождены от требований, но в будущем их удалят из каталога.

Источник изображения: obsidian.md

Усиление мер безопасности стало ответом на реальные инциденты. В одном из случаев злоумышленники создали фальшивое хранилище Obsidian, нацеленное на финансистов и криптотрейдеров. Жертву с помощью социальной инженерии вынуждали скачать опасный набор файлов и вручную включить сторонние плагины. После этого вредоносный код загружал программу для скрытого удаленного доступа. Атака использовала доверие к экосистеме, а не техническую уязвимость. Руководитель разработки Obsidian подчеркнул, что для заражения пользователю нужно было проигнорировать несколько явных предупреждений системы безопасности.

В обновленном каталоге появился удобный поиск, фильтры и сортировка по категориям, названию и дате обновления. Специальные метки сообщают о платных расширениях и официальных интеграциях.

Для авторов расширений запущена панель управления, которая упрощает подачу заявок, отслеживание статуса проверки и администрирование проектов. Все старые проекты и запросы с GitHub были автоматически перенесены на новую платформу. Чтобы подтвердить права на свою разработку, автору достаточно привязать аккаунт GitHub. Кроме того, появилась функция предварительного анализа: можно проверить любую ветку, тег или коммит еще до отправки официального релиза.

Благодаря автоматизации за несколько дней удалось разобрать очередь из более чем 2300 заявок. Теперь новые проекты проходят первичную проверку за минуты, а одобренное расширение становится доступно для поиска и загрузки в приложении в течение суток.

В ближайших планах создателей приложения лежит дальнейшее развитие системы безопасности. Карточки плагинов дополнят метками конфиденциальности. Они будут показывать, к каким именно данным обращается расширение: к сети, файловой системе или буферу обмена. Также появятся новые инструменты управления и возможность закрытого распространения расширений внутри команд.