如何确保 Jetbrains/VScode 等 IDE 里面安装的插件的安全性？

在使用 Jetbrains/VScode 或其他 IDE 时候，往往需要安装插件进行功能扩展，如果确保插件本身的安全性？因为这些 IDE 的插件权限非常大，可访问本机的文件系统，并在本机执行任意代码。

例如如果插件作者在插件中加入后门代码或木马代码，或者虽然插件作者本身没有恶意，但遭遇供应链攻击，其插件代码的依赖项里有恶意代码。

这样开发电脑中的机密文件、密码、SSH 私钥、各种私密 token 、钱包等，不就都被窃取走了吗？

似乎很少见到有人关注插件安全性的。

renmu

2024-01-05 08:40:52 +08:00

可以引申出你如何能保证你安装的第三方包的安全性，开源软件的安全性，闭源软件的安全性，答案就是保证不了。

0o0O0o0O0o

2024-01-05 08:50:10 +08:00

我觉得你的担忧没有错，所以我在 Host 只用微软的插件，别的丢进 https://code.visualstudio.com/docs/devcontainers/containers 里缓解

逃逸怎么办？我选择相信不会有人拿这种洞打我

微软的插件也被供应链攻击怎么办？我选择相信微软开发者没有这么不堪

如果你还是担心，可以看看 Qubes OS ，我其实不期待 VSCode 的安全设计

crackidz

2024-01-05 08:50:13 +08:00

保证不了，即便是现在也不断有在 VSCode Marketplace 发现恶意插件的消息。不过 VScode 也做了一些安全规则，有些事情不是那么容易可以做到的。

供应链安全是个很大的话题，除非投入大量时间精力，否则完全保证不了

wu67

2024-01-05 08:50:18 +08:00

答案就是你管不了那么多. 该吃吃, 该用用, 别装那些非常小众的插件就好了, 尽量用比较大的组织、团体开发的, 或者知名个人开发者开发的扩展

codcrafts

2024-01-05 09:31:10 +08:00

vs code 的插件或者 JetBrains 的插件，我只会安装官方开发或者经过认证的大厂开发的插件，比如说 Jetbrains 、microsoft 、Redhat 这样的

LonnyWong

2024-01-05 13:31:21 +08:00

ssh 私钥设置 Passphrase ，开机先 ssh-add 将私钥添加到 ssh-agent 中，这样就不用每次都输入 Passphrase 了。

只要 Passphrase 够复杂，他们拿走你的私钥也用不了。当然他们还是能直接在你的机器上干一些事，所以最好是用开源的，自己审过代码，自己编译。

安利好用的 ssh 客户端： https://github.com/trzsz/trzsz-ssh

0o0O0o0O0o

2024-01-05 13:35:48 +08:00

看到上面有人说自己审代码，我觉得这是不现实的。可以随便找一些公开的漏洞看看，很多被利用的 BUG 写在那里，没有专业素养的人肉眼是不可能看得出来的。更何况 OP 提到的供应链攻击更会精心设计让漏洞难以被发现。

HangoX

2024-01-05 15:07:48 +08:00

这不是最恐怖的，网上的开源项目构建脚本是可以加入任意插件的，这个插件的权限可以访问你电脑任意文件，上传你整个代码文件都没问题，这个你甚至不需要 ide 都能跑起来

whoami9426

2024-01-05 15:51:56 +08:00

idea 插件好像分两种,个人开发和公司组织开发的,前者上架要求开源,后者是闭源的,不过都要经过 idea 审核

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1005995

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.