我看到VSCode有很多不错的扩展。然而,我担心这些扩展是否将我的代码发送到他们的任何服务器。有没有办法找出来?我可以使用fiddler并隔离可能从插件中发生的调用 - 但是我不想为我安装的每个扩展执行此操作。 VScode团队是否有一些关于此的指导?
答案 0 :(得分:6)
如果您对所安装的应用程序/插件的发送方式和插件的发送方式有何偏见,您首先必须逐行检查插件源代码,然后设置一种类型的数据(如果有的话)记录每个网络事务的man-in-the-middle代理服务器。有一个适合称为mitmproxy的工具,例如在iOS网络取证中使用,或者您无法轻易查看的所有封闭设备:https://mitmproxy.org
这是费力的工作,因为您必须筛选大量的连接数据。好处是,最终您将确切地知道在哪里发送哪种数据,即使是通过SSL加密通信。在初步设置之后,mitmproxy也可以将自己置于这些连接之间。
除此之外,您只能设置个人防火墙或(根据您的操作系统)设置完整的防火墙设置,阻止除手动批准的所有连接。
最终,这一切都取决于您的威胁级别,因为它在安全行业中被称为。如果您有极高的操作安全要求,则不应该从处理敏感信息的机器上连接到互联网,而是使用气隙机器,将数据从一个物理传输到另一个,设置几个其他安全措施,如入侵检测,启发式扫描和物理访问限制。
然而,这种安全开销通常是过度的。如果你安装了高评价和流行的插件,你可能会很高兴,因为大数法则规定,当人们参与的时候,更容易检测出邪恶行为的可能性。
安全是一项非常复杂和动态的任务,您要么自己做,要么付钱给别人为您做。此外,这是一个数字游戏,或威慑之一。没有100%安全的东西。如果有足够的时间和资源,任何事情都可能受到损害。游戏的目的是让目标更难以达成目标,而不是成功实现目标。一个不是作为安全解决方案开发的开源项目(即使是像微软这样的巨头)也不能指望你免费为你做这个安全审查。
更新:随着VSCode变得非常流行,出现了邪恶插件的问题。这与任何插件架构(如WWW浏览器)或公共包管理器(如npm)的问题相同。当没有正式的,自动化的和手动的安全评论(例如Apple的App Store - 尽管他们的人力资源大量不时出现时),从信息安全的角度来看,所有这些系统都具有潜在的毒性。流行的扩展程序也可能会被出售和/或更改所有者,然后注入错误的代码。这已经多次发生在浏览器插件和npm包中。扩展是一个相当大的攻击载体,尤其对于企业而言。与普通用户相比,开发人员通常可以更广泛地访问网络基础架构和服务,并在其计算机上运行具有更高权限的软件。
总结:
我可以使用fiddler并隔离可能从插件中发生的调用 - 但是不希望为我安装的每个扩展都这样做。
我担心这正是你暂时要做的事情。