在 VS Code 中试用

工作区信任扩展指南

什么是工作区信任?

工作区信任是一项功能,旨在解决用户在 VS Code 中打开工作区时意外执行代码所带来的安全风险。例如,语言扩展为了提供功能,可能会执行当前加载工作区中的代码。在这种情况下,用户应信任工作区内容不是恶意的。工作区信任将此决策集中到 VS Code 内部,并支持受限模式以防止自动代码执行,从而使扩展作者无需自行处理此基础设施。VS Code 提供静态声明和 API 支持,可帮助扩展快速启用此功能,无需在不同扩展之间复制代码。

入门

静态声明

在扩展的 package.json 文件中,VS Code 支持以下新的 capabilities 属性 untrustedWorkspaces

capabilities:
  untrustedWorkspaces:
    { supported: true } |
    { supported: false, description: string } |
    { supported: 'limited', description: string, restrictedConfigurations?: string[] }

对于 supported 属性,接受以下值

  • true - 扩展在受限模式下完全受支持,因为它不需要工作区信任即可执行任何功能。它将像以前一样启用。
  • false - 扩展在受限模式下不受支持,因为它没有工作区信任就无法运行。它将保持禁用状态,直到授予工作区信任。
  • 'limited' - 扩展的某些功能在受限模式下受支持。敏感信任的功能应在授予工作区信任之前禁用。扩展可以使用 VS Code API 隐藏或禁用这些功能。工作区设置可以使用 restrictedConfigurations 属性自动通过信任进行限制。

对于 description 属性,必须提供信任原因的描述,以帮助用户了解哪些功能将被禁用,或者他们在授予或拒绝工作区信任之前应审查什么。如果 supported 设置为 true,则此属性将被忽略。

description 属性的值应添加到 package.nls.json 中,然后在 package.json 文件中引用,以支持本地化。

restrictedConfigurations 属性接受一个配置设置 ID 数组。对于列出的设置,当在不受信任的工作区的受限模式下时,扩展将不会获得工作区定义的值。

如何支持受限模式?

为了帮助扩展作者理解工作区信任的范围以及哪些类型的功能在受限模式下是安全的,以下是一些需要考虑的问题。

我的扩展是否有主入口点?

如果扩展没有 main 入口点(例如主题和语言语法),则扩展不需要工作区信任。扩展作者无需对此类扩展采取任何操作,因为它们无论工作区是否受信任都将继续运行。

我的扩展是否依赖于打开工作区中的文件来提供功能?

这可能意味着工作区可以设置的设置或工作区中的实际代码。如果扩展从不使用工作区中的任何内容,则可能不需要信任。否则,请查看其他问题。

我的扩展是否将工作区的任何内容视为代码?

最常见的例子是使用项目的工​​作区依赖项,例如存储在本地工作区中的 Node.js 模块。恶意工作区可能会签入被篡改的模块版本。因此,这对用户和扩展来说都是一个安全风险。此外,扩展可能依赖于控制扩展或其他模块行为的 JavaScript 或其他配置文件。还有许多其他示例,例如执行打开的代码文件以确定其用于错误报告的输出。

我的扩展是否使用工作区中可定义的设置来确定代码执行?

你的扩展可能会使用设置值作为你扩展执行的 CLI 的标志。如果这些设置被恶意工作区覆盖,它们可能被用作攻击你的扩展的向量。另一方面,如果设置的值仅用于检测某些条件,则它可能不是安全风险,并且不需要工作区信任。例如,扩展可能会检查首选 shell 设置的值是 bash 还是 pwsh 以确定显示哪些文档。下面的配置(设置)部分提供了关于设置的指导,可帮助你为扩展找到最佳配置。

这不是需要工作区信任的详尽列表。随着我们审查更多扩展,我们将更新此列表。使用此列表来思考你的扩展在考虑工作区信任时可能具有的类似行为。

如果我不对扩展进行更改会怎样?

如上所述,未对其 package.json 做出任何贡献的扩展将被视为不支持工作区信任。当工作区处于受限模式时,它将被禁用,并且用户将收到通知,告知某些扩展因工作区信任而无法工作。此措施是对用户最安全的方法。即使这是默认行为,也最好设置适当的值,表明作为扩展作者,你已努力保护用户和你的扩展免受恶意工作区内容的侵害。

工作区信任 API

如上所述,使用 API 的第一步是将静态声明添加到你的 package.json 中。最简单的启用方法是为 supported 属性使用 false 值。再次强调,即使你不做任何操作,这也是默认行为,但它向用户发出了一个很好的信号,表明你做出了深思熟虑的选择。在这种情况下,你的扩展无需执行任何其他操作。它将不会被激活,直到授予信任,然后你的扩展将知道它是在用户同意的情况下执行的。但是,如果你的扩展仅对其部分功能需要信任,这可能不是最佳选择。

对于希望根据工作区信任限制其功能的扩展,它们应该为 supported 属性使用 'limited' 值,并且 VS Code 提供了以下 API

export namespace workspace {
  /**
   * When true, the user has explicitly trusted the contents of the workspace.
   */
  export const isTrusted: boolean;

  /**
   * Event that fires when the current workspace has been trusted.
   */
  export const onDidGrantWorkspaceTrust: Event<void>;
}

使用 isTrusted 属性来确定当前工作区是否受信任,并使用 onDidGrantWorkspaceTrust 事件来监听工作区何时被授予信任。一旦工作区被信任,你可以使用此 API 阻止特定的代码路径并执行任何必要的注册。

VS Code 还公开了一个上下文键 isWorkspaceTrusted,用于在下面描述的 when 子句中使用。

贡献点

命令、视图或其他 UI

当用户未信任工作区时,他们将在受限模式下操作,功能有限,主要用于浏览代码。你在受限模式下禁用的任何功能都应向用户隐藏。这可以通过when 子句上下文和上下文键 isWorkspaceTrusted 来完成。即使命令未在 UI 中显示,仍然可以调用它,因此你应根据上述 API 在扩展代码中阻止执行或不注册命令。

配置(设置)

首先,你应该检查你的设置,以确定它们是否需要考虑信任。如上所述,工作区可能会为一个你的扩展使用的设置定义一个对用户恶意的配置值。如果你发现易受攻击的设置,则应将 supported 属性设置为 'limited',并将设置 ID 列在 restrictedConfigurations 数组中。

当你将设置 ID 添加到 restrictedConfigurations 数组时,VS Code 在受限模式下将仅返回设置的用户定义值。你的扩展无需再进行任何额外的代码更改来处理该设置。授予信任后,除了工作区信任事件之外,还将触发配置更改事件。

调试扩展

VS Code 将阻止在受限模式下进行调试。因此,调试扩展通常不需要信任,并且应为 supported 属性选择 true。但是,如果你的扩展提供了不属于内置调试流程的额外功能、命令或设置,则应使用 'limited' 并遵循上述指导。

任务提供程序

与调试类似,VS Code 会阻止在受限模式下运行任务。如果你的扩展提供了不属于内置任务流程的额外功能、命令或设置,则应使用 'limited' 并遵循上述指导。否则,你可以指定 supported: true

测试工作区信任

有关启用和配置工作区信任的详细信息,请参阅工作区信任用户指南