🚀 在 VS Code 中获取

Event-Stream 包安全更新

已更新:2019 年 6 月 23 日

我们一直在与扩展作者合作,以更新他们的扩展和依赖项。

以下是当前被阻止的扩展列表

  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joaquin6.package-watch
  • KazuoCode.gthubsum
  • MaxGotovkin.tslens

2018 年 11 月 26 日 Kai Maetzel, @kaimaetzel

您可能已经听说流行的 event-stream NPM 包包含恶意依赖项。详细信息可以在以下 GitHub issue 中找到:https://github.com/dominictarr/event-stream/issues/116。此漏洞已存在约两个月,但最近才被发现。

简而言之:Visual Studio Code 不受行业范围内的 NPM event-stream 包安全问题的影响,并且我们已通过从 VS Code Marketplace 中临时删除受此包影响的扩展,从而积极地保护了我们的用户群。

我们立即检查了我们是否以及如何受到影响。首先,我们扫描了 Visual Studio Code。Visual Studio Code 的两个产品安装(稳定版和 Insiders 版)都是安全的。

其次,我们扫描了 VS Code Marketplace 中的所有扩展。我们确定了几个受影响的扩展。我们决定采取积极措施来保护我们的用户以及这些扩展的作者,并自动卸载这些扩展。用户无需采取任何措施来删除这些扩展。这些扩展也将从 Marketplace 中取消列出。

在扫描时,以下扩展包含恶意代码

  • aoisupersix.bve5-language-support
  • apollographql.vscode-apollo
  • ardenivanov.svelte-intellisense
  • ballerina.ballerina
  • BattleBas.kivy-vscode
  • cesium.gltf-vscode
  • christianvoigt.argdown-vscode
  • codemooseus.vscode-devtools-for-chrome
  • curlybracket.vlocode
  • ivory-lab.jenkinsfile-support
  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joe-re.sql-language-server
  • jomiller.rtags-client
  • jorithvdheuvel.webdav
  • KazuoCode.gthubsum
  • kddejong.vscode-cfn-lint
  • Koihik.vscode-lua-format
  • myxvisual.vscode-ts-uml
  • OptimaSystems.vscode-apl-language-client
  • Paul-Ehigie-Paul.nativescript-extend
  • qoretechnologies.qorus-vscode
  • quantum.quantum-devkit-vscode
  • ritwickdey.LiveServer
  • rkoubou.ksp
  • roboceo.robojsx-plugin
  • salbert.comment-ts
  • SiteGo.spgo
  • terminus.tangram-vscode-plugin
  • tintrinh.php-refactor
  • tomoki1207.pdf
  • vlopes11.advpls-client
  • webhint.vscode-webhint
  • wix.stylable-intelligence
  • Yseop.vscode-yseopml
  • zfzackfrost.commentbars
  • Zowe.vscode-extension-for-zowe

我们正在通知这些扩展的作者。一旦作者更新了他们的扩展并收到他们的通知,我们将验证更新。然后您将能够从 Marketplace 重新安装该扩展。

给扩展作者的注意事项:当您使用 yeoman 代码生成器生成扩展时,您可能已安装了恶意代码作为开发依赖项的一部分。删除您的 node_modules 文件夹,使用 npm cache clean --force 清理您的 npm 缓存,然后重新运行 npm install

扩展作者需要将 vscode 模块更新到 1.1.22

我们会随时向您通报最新情况。

Kai Maetzel (Microsoft)