我发现 VSCode 有很多不错的扩展。然而,我担心这些扩展是否将我的代码发送到他们的任何服务器。有什么办法可以查到吗?我可以使用 fiddler 并隔离插件中可能发生的调用 - 但不想对我安装的每个扩展都这样做。 VScode 团队对此有一些指导吗?
如果您对安装的应用程序/插件发送的数据类型(如果有的话)以及发送到何处感到偏执,那么您首先必须逐行检查插件源代码,然后设置一种手动设置记录每个网络事务的中间代理服务器。有一个名为 mitmproxy 的工具,例如用于 iOS 网络取证或实际上所有您无法轻易查看的封闭设备:https://mitmproxy.org https://mitmproxy.org
这是一项艰巨的工作,因为您必须筛选大量连接数据。好处是,最终您将确切地知道哪种数据被发送到哪里,即使是通过 SSL 加密的通信也是如此。在进行一些初始设置后,mitmproxy 也可以将自己放置在这些连接之间。
除此之外,您只能设置个人防火墙或(取决于您的操作系统)设置完整的防火墙集,阻止除手动批准的连接之外的所有连接。
最后,这完全取决于您的威胁级别,正如安全行业所说的那样。如果您有极高的操作安全要求,则根本不应该从处理敏感信息的计算机连接到互联网,而是使用气隙计算机,将数据从一台物理传输到另一台,设置多个额外的保护措施,例如入侵检测、启发式扫描和物理访问限制。
然而,这种安全开销通常是矫枉过正的。如果您安装了高评价和流行的插件,那么您可能会很高兴,因为大数定律规定,参与的人越多,恶意行为的可能性就越容易被检测到。
安全是一项高度复杂且动态的任务,您要么必须自己做,要么花钱请人为您做这件事。此外,这是一种数字游戏,或者说是一种威慑。没有任何东西是 100% 安全的。只要有足够的时间和资源,任何事情都可能受到损害。这个游戏的目的是让攻击目标的难度高于成功攻击目标可能获得的收益。一个没有完全作为安全解决方案开发的开源项目(即使是来自微软这样的巨头)也不能指望免费为您进行安全审查。
Update:随着 VSCode 变得非常流行,邪恶插件的问题也随之出现。这与任何插件架构(如 WWW 浏览器)或公共包管理器(如 npm)都有同样的问题。当没有正式的、自动的和手动的安全审查时(比如苹果的应用程序商店——尽管他们拥有大量的人力,但他们时不时就会出现失误),从信息安全的角度来看,所有这些系统都具有潜在的毒性。流行的扩展也有可能被出售和/或更改所有者,然后注入不良代码。对于浏览器插件和 npm 包来说,这种情况已经发生过多次。扩展是一个相当大的攻击媒介,尤其是对于企业而言。开发人员通常比普通用户拥有更广泛的网络基础设施和服务访问权限,并在其计算机上以更高的权限运行软件。
综上所述:
我可以使用 fiddler 并隔离插件中可能发生的调用 - 但不想对我安装的每个扩展都这样做。
恐怕这正是你目前必须要做的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
