Visual Studio Code 的扩展程序有多安全?
扩展程序是否可能引入恶意软件?
安装任何扩展程序都是安全的吗?
Visual Studio Code 的扩展程序有多安全?
扩展程序是否可能引入恶意软件?
安装任何扩展程序都是安全的吗?
是的,它们可能包含恶意软件。当您下载并运行扩展时,您正在信任它几乎可以使用您的用户权限做任何想做的事情。
VS Code没有实现沙盒(像浏览器一样),代码受限制较少。
尽管如此,恶意扩展很可能会很快被发现。由于这些文件已签名,第三方攻击者无法轻松修改现有的扩展或发布虚假扩展,他们必须先破坏真正的开发者。此外,许多扩展是开源的(顺便说一下,这不是确保发布版本来自公共源代码的保证,但是再次,检查很容易,因为扩展只是zip文件)。
所以简而言之:扩展理论上可能是恶意的,但特别是在众所周知的扩展的情况下,您获得恶意版本的可能性在其他人发现并删除它之前可能非常低。另一方面,许多人使用的扩展程序可能成为复杂攻击者的目标,因为安全控制有时可能比使用这些扩展程序的公司更加宽松。
总之:TL;DR:只有您可以确定是否愿意接受风险,这种风险不是很高,但也不可忽略,特别是对于得到社区审核较少的小众扩展程序。
有(至少)两种方式,糟糕的软件可以通过扩展对您/您的计算机进行恶意操作:
非恶意扩展可以被恶意工作区利用/用作攻击向量。在某种程度上,VS Code内置的工作区信任机制可以保护您免受此类攻击。您可以在https://code.visualstudio.com/docs/editor/workspace-trust#_extensions中详细了解此机制。简而言之,当您首次打开工作区时,VS Code会询问您是否信任该工作区。如果您选择不信任,VS Code将以“受限模式”打开工作区,在该模式下,未明确选择在该模式下可运行的扩展将被禁用。扩展还可以配置自己在受限模式下强制禁用,或者在受限模式下仅具有有限功能(请注意,用户还可以手动覆盖扩展选择(参见extensions.supportUntrustedWorkspaces
设置))。
所有这些都取决于所述扩展是否为非恶意。
是的,扩展可以是恶意的。在同一工作区信任文档中,还指出:
注意:Workspace Trust无法阻止恶意扩展执行代码并忽略受限模式。您应仅安装和运行来自您信任的知名发布者的扩展。