在使用 Jetbrains/VScode 或其他 IDE 时候,往往需要安装插件进行功能扩展, 如果确保插件本身的安全性?因为这些 IDE 的插件权限非常大,可访问本机的文件系统,并在本机执行任意代码。 例如如果插件作者在插件中加入后门代码或木马代码,或者虽然插件作者本身没有恶意,但遭遇供应链攻击,其插件代码的依赖项里有恶意代码。 这样开发电脑中的机密文件、密码、SSH 私钥、各种私密 token 、钱包等,不就都被窃取走了吗? 似乎很少见到有人关注插件安全性的。 插件, IDE, 代码, VSCode
我觉得你的担忧没有错,所以我在 Host 只用微软的插件,别的丢进 https://code.visualstudio.com/docs/devcontainers/containers 里缓解 逃逸怎么办?我选择相信不会有人拿这种洞打我 微软的插件也被供应链攻击怎么办?我选择相信微软开发者没有这么不堪 如果你还是担心,可以看看 Qubes OS ,我其实不期待 VSCode 的安全设计
保证不了,即便是现在也不断有在 VSCode Marketplace 发现恶意插件的消息。不过 VScode 也做了一些安全规则,有些事情不是那么容易可以做到的。 供应链安全是个很大的话题,除非投入大量时间精力,否则完全保证不了
