VSCode 扩展的安全和隐私

Question

我看到 VSCode 有很多不错的扩展。但是，我担心这些扩展是否将我的代码发送到他们的任何服务器。有什么办法可以查到吗？我可以使用 fiddler 并隔离插件中可能发生的调用——但不想对我安装的每个扩展都这样做。 VScode 团队对此有什么指导吗？

Answer 1

如果您对安装的应用程序/插件发送什么样的数据(如果有的话)以及发送到哪里感到偏执，您首先必须逐行检查插件源代码，然后设置一种人工记录每个网络事务的中间代理服务器。有一个恰本地称为 mitmproxy 的工具，例如用于 iOS 网络取证或实际上所有您无法轻易窥视的封闭设备:https://mitmproxy.org

这是一项费力的工作，因为您必须筛选大量的连接数据。好处是，即使通过 SSL 加密的通信，最终您也将确切地知道将什么样的数据发送到哪里。 mitmproxy 也可以将自己置于这些连接之间——在一些初始设置之后。

除此之外，您只能设置个人防火墙或(取决于您的操作系统)设置完整的防火墙集，阻止除手动批准之外的所有连接。

最后，这完全取决于您的威胁级别，正如安全行业所说的那样。如果您有特别高的操作安全要求，则根本不应该从处理敏感信息的机器连接到互联网，而是使用气隙机器，将数据从一个物理传输到另一个，设置多个其他保护措施，例如入侵检测、启发式扫描和物理访问限制。

但是，这种安全开销通常是多余的。如果您安装了高评价和流行的插件，那么您可能会很高兴，因为大数定律表明，参与的人越多，就越容易检测到恶意行为的可能性。

安全是一项高度复杂且动态的任务，您要么必须自己完成，要么花钱请人代您完成。此外，这是一个数字游戏，或者是一种威慑。没有 100% 安全的东西。只要有足够的时间和资源，任何事情都可能受到损害。游戏的目的是让妥协目标变得比成功这样做可能获得的 yield 更难。不能指望一个没有完全作为安全解决方案开发的开源项目(即使是来自像微软这样的巨头)免费为你做这个安全审查。

更新:随着 VSCode 变得非常流行，邪恶插件的问题就出现了。这与任何插件架构(如 WWW 浏览器)或公共(public)包管理器(如 npm)的问题相同。如果没有正式的、自动的和手动的安全审查(比如 Apple 的 App Store——尽管他们有大量的人力，但它们时常会出现失误)，从信息安全的角度来看，所有这些系统都可能是有毒的。流行的扩展也有可能被出售和/或更改所有者，然后注入(inject)错误代码。对于浏览器插件和 npm 包，这种情况已经发生过多次。扩展是一个相当大的攻击媒介，尤其是对企业而言。开发人员通常比普通用户更广泛地访问网络基础设施和服务，并且在他们的机器上运行具有更高权限的软件。

综上所述:

I could use fiddler and isolate calls that might be happening from the plugin - but don't want to be doing that for each and every extension that I install.

恐怕这正是你暂时要做的。