工作区信任
2021 年 7 月 6 日,作者:Chris Dias,@chrisdias
自从1.57 版本更新以来,许多 Visual Studio Code 用户都面临着一个存在主义问题:我可以信任自己吗?
虽然我们无法为您解答这个问题,但我们可以详细说明我们为何引入工作区信任的概念。
首先,介绍一点背景知识。
猫和键盘,以及坏苹果
互联网上充满了美好的事物,例如猫咪在键盘上打字的视频。
对于开发者而言,互联网上也充斥着各种工具、软件包和开源项目,它们由乐于助人的人们构建,旨在帮助您解决困扰您数小时的问题。诸如 VS Code 之类的开发工具集成了软件包管理器、代码检查器、任务运行器、打包器等等,以提供令人愉悦的体验,从而利用不断发展的社区中的最新和最伟大的进步。
然而,这种丰富的生态系统所提供的生产力通常是我们对开发机器提供的广泛访问权限的结果。再加上快速发展、病毒式传播和消费,开发者工具成为了具有吸引力的攻击目标,特别是考虑到攻击者可以利用我们的机器进一步传播攻击(例如,通过存储在开发者机器上的身份验证令牌,甚至通过开发者编写的软件)。
成为一名开发者是值得的,但也是一项有风险的业务。要为一个项目做出贡献,您天生就需要信任其作者,因为诸如运行 npm install
或 make
、构建 Java 或 C# 项目、自动化测试或调试之类的活动都意味着项目中的代码正在您的计算机上执行。
我们推出工作区信任功能的目的是找到适当的平衡,既要防范少数“害群之马”破坏所有人的利益,又要继续确保我们能够拥有所有使开发如此有趣的美好事物。
嘿,这只是一个编辑器,对吧?
是的,VS Code 是一个编辑器。但是,与大多数现代编辑器一样,它能够代表您运行工作区中的代码,以提供更丰富的开发体验。
运行和调试代码是一个明显的例子。可能不太明显的代码执行可能是 preLaunchTask
,它在启动应用程序之前运行,并且可以运行一个构建,其中包含一个执行与构建无关的任意代码的额外任务。那么,窃取您的加密货币钱包私钥的 npm 模块呢?只需进行简单的编辑,就会从 node_modules
文件夹加载恶意检查器,而不是全局安装的那个。甚至阅读代码也可能具有欺骗性,攻击者可以使用 Unicode 黑客技术将恶意代码隐藏在眼皮底下。见鬼,您甚至不必打开任何源代码就可以被攻陷。
这里的意图不是要吓跑您,让您远离所有优秀的工具(包括 VS Code)或让您改行。而是要提高人们的意识,当您从互联网上下载由您没有任何信任关系的人或组织编写的代码时,存在许多攻击机会。
打地鼠
在上述所有场景中,工具都在按照设计的方式工作,并且在非恶意代码库中,它们非常高效。设置 preLaunchTask
以在调试之前构建应用程序是一个很棒的省时方法,因为您不必在每次更改后都从终端手动构建它。检查器具有高度可定制性,可以支持每个团队首选的编码指南和风格(是的,制表符与空格)。预提交钩子使您可以检查是否遗漏了某些内容,或者确保在提交之前运行测试。
现在,您不太可能同时遭受所有这些攻击。事实上,(至今)还没有通过 VS Code 进行的漏洞利用,因为有一个由专家组成的强大社区,他们在新的机会出现时会提醒我们。在我们推出工作区信任之前,我们的方法是在漏洞发生点通过本地化的权限提示来解决每个场景。
例如,Jupyter 扩展会警告用户,当您在 Notebook 中打开可视化工具时,嵌入式 JavaScript 可以运行
ESLint 漏洞是一个难题,因为它在工作区加载时运行(这是我们的第一个模态对话框)。
事实证明,这是一场必败之战。用户会被多个(且略有不同的)权限提示打断,这些提示并不适用于整个工作区。我信任你、你、你、你,不信任你,还有你,但仅限周二。对于我们来说,这是一场持续不断的打地鼠游戏,当每个漏洞被暴露出来时,我们都会用另一个提示来堵住它。
因此,我们在构建 VS Code 时遵循的模式之一是查看在工具和扩展中以类似但不一致的方式实现的体验,看看我们是否可以将其引入核心。信任提示遵循了这种模式,因此我们决定着手构建一种体验和 API,工具和扩展都可以利用它,并提供(希望)更清晰的用户体验。
信任
现在您已经了解了一些代码可能在您不知情的情况下运行的各种方式,希望您能更好地理解我们为什么要在最开始提出这个问题。
我们专门询问您是否信任此工作区的作者,因为 VS Code 无法判断代码是否是恶意的(嘿,我们只知道 1 和 0),它来自哪里,您是否打算为项目做出贡献等等。
另一方面,您很聪明,您知道代码来自哪里:您(好的)、您的公司(可能没问题)、您的伙伴 Kai(看情况),或者互联网上的某个陌生人(绝对不行)。
这些知识有助于使工具更智能。如果您信任作者,那就太好了!工具和扩展程序可以放心地执行它们的操作并提供神奇的体验,我们不会再打扰您。
如果您不信任,您就是在告诉我们VS Code 要小心,不要执行任何代码。这就是我们所说的 受限模式,在这种模式下,可能会有害的功能被禁用,以便您可以更安全地浏览代码并最终做出明智的决定。
但是那个对话框!
我们听到了您的声音,模态对话框确实很大,并且对于您打开的每个新文件夹都会不断弹出,除非您采取措施进行配置。
我们最初的设计并非如此。我们研究了ESLint 模态对话框传奇,并问自己是否可以使用视觉线索和单个通知提示(尽可能延迟)来提供非阻塞体验。我们希望做到不引人注目,以受限模式启动(您真的没有注意到),并在最后一刻提示信任。
我们引入了一个“被动”信任通知,您可以在其中告诉我们您是否信任工作区。我们循环使用了各种 UI 处理方式来指示工作区不受信任,包括增强设置齿轮图标和引入新的安全图标。
如果您使用 Insiders 版本,您将获得 VS Code 中最新体验的最新迭代,就像我们正在讨论的工作区信任一样。Insiders 版本每天发布,我们使用它来构建 VS Code。
我们的想法是,用户(您!)可以根据您的意愿决定何时授予或拒绝工作区的信任。当工具或扩展程序真正需要访问权限时,我们才会弹出一个通知,询问您是否信任工作区
现在,我相信你们中的许多人都会同意,VS Code 患有所谓的“通知疲劳症”(我保证我们正在努力解决这个问题 😊)。在我们的测试中,我们看到人们只是忽略了通知。用户没有看到齿轮图标上的通知,甚至没有看到新的安全图标。使用数据显示,通过被动通知授予信任的比率非常低。在用户研究中,我们看到人们把所有时间都花在思考他们是否弄坏了某些东西上,然后花费时间进行故障排除,试图恢复到他们期望的状态。
我们的初衷是做到不引人注目并尽可能延迟,但现实情况是,在受限模式下,产品感觉坏了,人们认为这是他们的错。这对我们双方来说都不是一个好的处境。
让您掌控一切
信任文件夹的决定对 VS Code 的功能具有根本性的影响,因此在所有研究之后,我们认为正确的做法是在您尝试打开文件夹时立即提出信任问题。由于模态对话框具有干扰性,我们尝试通过使对话框功能强大来平衡两者,以便您可以回答几个问题,并在最后,在您的日常工作中更少地看到提示。
从我们自己的内部测试以及与其他开发人员的访谈中,我们发现人们通常有一个主文件夹,他们在其中放置所有源代码并认为它是可信的。因此,我们添加了直接从对话框信任父文件夹的功能。您只需单击一下即可信任它和所有子文件夹,然后您将不会再次看到信任提示。
工作区信任编辑器
工作区信任编辑器为您提供对您信任的内容的额外控制,并且将在 1.58 版本中更新,以使其更容易配置该功能以满足您的需求。
并且由于您可以自定义行为,因此有很多方法可以访问信任编辑器 😊。单击受限模式状态栏消息、受限模式横幅中的管理链接、齿轮菜单,或打开命令面板 (F1) 并使用 工作区: 管理工作区信任 命令。
从工作区信任编辑器中,您可以信任当前文件夹、父文件夹(和所有子文件夹)以及计算机上的任何文件夹。
您还可以快速跳转到所有工作区信任设置,以微调体验。
我们如何使用工作区信任
没有人喜欢用牙线洁牙,但我们还是会这样做,因为我们知道这是正确的事情。没有人愿意考虑安全性,但我们也知道这是正确的事情。通过自定义体验,您可以保持愉悦的开发体验,同时保护自己免受开发固有的威胁(有趣的洁牙?!)。
VS Code 团队的大多数人都是从一个顶级文件夹开始的,他们在其中处理他们信任的源代码。例如,在我的 Mac 上,我将我从 Microsoft 组织在 GitHub 上拉取的所有源代码都放在我的 ~/src
文件夹中。我将 ~/src
指定为受信任的文件夹,其下的所有内容都天生受到信任。当我打开 ~/src/vscode
或 ~src/vscode-docker
等时,它们会在完全信任的情况下打开,因为我信任我的组织编写和使用的代码。
我有一个单独的文件夹,名为 ~/scratch
(“scratchpad”的缩写,您可以随意命名),我将所有其他内容都放在其中,并假设它默认不受信任。然后,我逐个文件夹地做出信任决定。
为了简化我的工作流程,我将 "security.workspace.trust.startupPrompt"
设置设置为 "never"
。
通过此设置,模态对话框不会提示我,并且工作区直接在受限模式下打开。我已经决定 ~src/scratch
文件夹不受信任,因此没有必要每次我打开子文件夹时都提示我。如果我确定我确实信任我正在阅读或编写的代码,我可以通过快速点击两次(VS Code 顶部的受限模式通知,然后是“信任”按钮)在文件夹上启用它。
在我的 Windows 机器上,情况稍微有趣一些。我通常在 Windows Subsystem for Linux (WSL) 上运行的 Ubuntu 映像中工作,使用 WSL 扩展。我信任 Linux 上的 ~/src
文件夹,并且我信任 Windows 端的 d:\src
文件夹。
团队中的一些人更进一步,甚至关闭了顶部的受限模式横幅("security.workspace.trust.banner": "never"
),只留下状态栏通知。对我来说,这太过分了,顶部的横幅让我保持诚实,并帮助提醒我在从互联网上拉取内容时保持警惕。
开源是伟大的
我们知道 VS Code 是您用来完成“真正”工作的工具,我们引入的任何障碍或瓶颈只会减慢您构建和启动下一个独角兽的速度。你们中的许多人花时间在 Twitter、Reddit 和问题中与我们联系,我们感谢您的坦诚反馈。我们根据您的意见对 1.58 版本中的 修复和改进进行了多次,并期待继续对话。
展望未来,我们希望帮助扩展作者避免任意代码执行,并在受限模式下提供更多功能。我们的路线图指出了我们正在与 Visual Studio Marketplace 团队合作,为扩展生态系统带来更多安全性(我们称之为“受信任的扩展”),包括经过验证的发布者、签名和特定于平台的扩展。简而言之,您可以将工作区信任视为帮助良好的扩展做出良好的决策。受信任的扩展将帮助您免受不良扩展的侵害。
在开放环境中构建 VS Code 的好处之一是,社区可以帮助我们创造最佳的体验。因此,请告诉我们如何改进流程,帮助您保持安全,同时尽可能做到不引人注目。在现有问题上评论(礼貌地!),提交新问题,或在 Twitter 上 @code 告诉我们,我们正在倾听!
谢谢,
Chris 和 VS Code 团队
祝您编码愉快(安全地)!