如何确保 Jetbrains/VScode 等 IDE 里面安装的插件的安全性?

查看 68|回复 5
作者:einsdisp   
在使用 Jetbrains/VScode 或其他 IDE 时候,往往需要安装插件进行功能扩展,
如果确保插件本身的安全性?因为这些 IDE 的插件权限非常大,可访问本机的文件系统,并在本机执行任意代码。
例如如果插件作者在插件中加入后门代码或木马代码,或者虽然插件作者本身没有恶意,但遭遇供应链攻击,其插件代码的依赖项里有恶意代码。
这样开发电脑中的机密文件、密码、SSH 私钥、各种私密 token 、钱包等,不就都被窃取走了吗?
似乎很少见到有人关注插件安全性的。

插件, IDE, 代码, VSCode

musi   
https://code.visualstudio.com/blogs/2022/11/28/vscode-sandbox
renmu   
可以引申出你如何能保证你安装的第三方包的安全性,开源软件的安全性,闭源软件的安全性,答案就是保证不了。
0o0O0o0O0o   
我觉得你的担忧没有错,所以我在 Host 只用微软的插件,别的丢进 https://code.visualstudio.com/docs/devcontainers/containers 里缓解
逃逸怎么办?我选择相信不会有人拿这种洞打我
微软的插件也被供应链攻击怎么办?我选择相信微软开发者没有这么不堪
如果你还是担心,可以看看 Qubes OS ,我其实不期待 VSCode 的安全设计
crackidz   
保证不了,即便是现在也不断有在 VSCode Marketplace 发现恶意插件的消息。不过 VScode 也做了一些安全规则,有些事情不是那么容易可以做到的。
供应链安全是个很大的话题,除非投入大量时间精力,否则完全保证不了
wu67   
答案就是你管不了那么多. 该吃吃, 该用用, 别装那些非常小众的插件就好了, 尽量用比较大的组织、团体开发的, 或者知名个人开发者开发的扩展
您需要登录后才可以回帖 登录 | 立即注册

返回顶部