Visual Studio Code 中的扩展安全性如何?
扩展会引入恶意软件吗?
安装任何扩展是否安全?
它们可能包含恶意软件,是的。当您下载并运行扩展程序时,您相信它可以在您用户的权限下执行几乎任何操作。
VS Code 没有实现沙箱(像浏览器一样),并且代码没有太多限制。
话虽如此,恶意扩展可能很快就会被发现。当这些文件被签名时,第三方攻击者没有简单的方法来修改现有文件,或者以某种方式发布假文件,他们必须首先危害真正的开发人员。其中许多都是开源的(顺便说一句,不能保证发布的版本是从公共源代码构建的,但同样,很容易检查,因为扩展名只是 zip 文件)。
简而言之:扩展在理论上可能是恶意的,但特别是在众所周知的扩展的情况下,在其他人发现恶意版本并将其删除之前您获得恶意版本的可能性可能非常低。另一方面,许多人使用的扩展可能成为老练的攻击者的一个很好的目标,因为安全控制有时可能比使用这些扩展的公司宽松得多。
TL;DR:只有您可以判断是否愿意接受风险,风险不是很高,但也不能忽略不计,尤其是对于较小的利基扩展,社区审查不那么彻底。
这并不完全正确,我知道,如果您从安全网站(也称为 microsoft.com)下载,那么您几乎是安全的,除非黑客已经在您的计算机上,因此它可能会危害您的网站并使下载变得恶意。我知道这一点是因为我下载了很多东西,但从未收到警报或勒索软件。因此,除非黑客等已经侵入您的计算机,否则您基本上是安全的。所以大家一定要注意安全!