我有一个项目(由 friend 创建),其中包含 Pipfile。我刚刚在 VSCode 中打开文件夹,打开文件后收到以下消息:
工作区包含 pipfile,但尝试运行“pipenv --venv”失败,并出现“spawn pipelinenv ENOENT”。确保 Pipenv 在 PATH 上。
忽略项目设置已停止的事实,我感到惊讶并担心 VSCode python 扩展会自动运行 pipelinenv。
我的问题是:我不应该在 VSCode 中打开不受信任的文件夹吗?我的理由是,如果我打开一个恶意文件夹(例如假装是一个开源库),那么 VSCode 似乎会自动运行 pip 安装,并且根据我对 pip 的了解,您似乎可以将恶意可执行文件放置在用户随后意外调用的 PATH(即使它仅位于 VSCode 工作区环境中)。因此,似乎只要尝试查看一个不受信任的文件夹,我就可能会被攻击。想法?
最佳答案
then VSCode appears to auto-run pip installation
VS Code 中的 Python 扩展不会自动安装 pip。请注意,这是 pipenv 而不是 pip。
命令 pipenv --venv 仅检查是否存在与当前目录关联的虚拟环境并打印该信息。看到这里https://pipenv.readthedocs.io/en/latest/#pipenv
So it seems like just by attempting to look at an untrusted folder I could get pwned
再一次,它没有安装任何东西。这不是命令 pipenv --venv 的作用。
关于python - vscode-python pipelinenv 自动运行行为是否存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52665718/