Visual Studio 代码中的扩展有多安全?
扩展程序会引入恶意软件吗?
安装任何扩展程序是否安全?
最佳答案
它们可以包含恶意软件,是的。当您下载并运行扩展程序时,您相信它可以在您的用户权限下执行几乎任何它想做的事情。
VS Code 没有实现沙盒(就像浏览器那样),代码也没有太多限制。
话虽如此,恶意扩展很可能会很快被发现。由于这些文件已签名,第三方攻击者无法轻松修改现有文件,或以某种方式发布假文件,他们必须首先危害真正的开发人员。它们中的许多也是开源的(顺便说一句,不能保证发布的版本是从公共(public)源代码构建的,但同样,很容易检查,因为扩展只是 zip 文件)。
简而言之:扩展在理论上可能是恶意的,但特别是在众所周知的扩展的情况下,您在其他人发现恶意版本并被删除之前获得恶意版本的可能性可能非常低。另一方面,许多人使用的扩展程序可能成为老练攻击者的好目标,因为安全控制有时可能比使用这些扩展程序的公司宽松得多。
TL;DR:只有你能判断你是否愿意接受风险,这不是很高,但也不容忽视,特别是对于社区审查不太彻底的较小的利基扩展。
关于security - Visual Studio 代码中的扩展有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67493012/