扩展运行时安全

扩展可以极大地增强Visual Studio Code的功能。它们也可能带来风险，例如恶意代码执行和数据隐私问题。Visual Studio Marketplace有多种方法可以保护您免受不良扩展的侵害。此外，VS Code还提供了几个扩展可靠性的指标。

本文档概述了VS Code中扩展的运行时权限以及为保护您免受恶意扩展侵害而采取的措施。您将学会如何在安装扩展之前就其可靠性做出明智的决定。

关于扩展运行时权限

用于运行VS Code中扩展的扩展主机。扩展主机拥有与VS Code本身相同的权限。这意味着VS Code可以执行的任何操作，扩展也可以通过扩展主机执行。

例如，扩展可以读取和写入您机器上的文件、发起网络请求、运行外部进程以及修改工作区设置。

扩展发布者信任

自VS Code 1.97版本发布以来，当您首次从第三方发布者那里安装扩展时，VS Code会显示一个对话框，提示您确认是否信任该扩展的发布者。

当您信任扩展包的发布者或依赖于其他扩展的扩展的发布者时，您也信任了依赖扩展的发布者。

您以前安装的扩展的发布者被视为受信任的，并会自动添加到受信任发布者列表中。

您可以使用Extensions: Manage Trusted Extensions Publishers命令来管理受信任扩展发布者列表。

重要

当您使用VS Code命令行安装扩展时，扩展的发布者不会被自动信任。

确定扩展的可靠性

在安装扩展之前，您可以采取各种步骤来确定其是否可靠。Visual Studio Marketplace为您提供有关扩展的信息，以帮助您做出明智的决定

评分与评论：阅读其他人对扩展的看法。
问答：查看现有问题以及发布者的响应程度。如果您有疑虑，也可以与扩展的发布者互动。
问题、存储库和许可证：检查发布者是否提供了这些信息，以及它们是否符合您的期望。
已验证发布者：将发布者姓名和域名旁边的蓝色复选标记作为额外的信任信号。该复选标记表示发布者已向Marketplace证明了其域名所有权。它还表明Marketplace已验证域名的存在以及发布者在Marketplace上的良好信誉至少六个月。

提示

如果您想强制执行允许在您的组织中使用的扩展，请参阅如何配置VS Code中允许的扩展。

市场保护

Visual Studio Marketplace采用多种机制来保护您免受恶意扩展的侵害

恶意软件扫描：Marketplace会对发布到其中的每个扩展包运行恶意软件扫描，以确保其安全性。该扫描使用多种杀毒引擎，对每个新扩展和每个扩展更新运行。在扫描完成之前，该扩展不会在Marketplace上公开使用。
动态检测：Marketplace通过在沙箱环境（干净房间虚拟机）中运行扩展来验证扩展的运行时行为，从而进行动态检测。
已验证发布者：发布者可以通过证明域名所有权来验证（蓝色复选标记）其身份。这表明发布者已向Marketplace证明了其域名所有权。它还表明Marketplace已验证域名的存在以及发布者在Marketplace上的良好信誉至少六个月。
异常使用监控：Marketplace会监控扩展的下载和使用模式，以检测异常行为。
名称抢注：Marketplace阻止扩展作者窃取官方发布者（如Microsoft或RedHat）和流行扩展（如GitHub Copilot）的名称。
阻止列表：如果报告并验证了恶意扩展，或者扩展依赖项中发现了漏洞，该扩展将被从Marketplace中删除并添加到阻止列表中。如果该扩展已被安装，VS Code将自动卸载它。
扩展签名验证：Visual Studio Marketplace在发布所有扩展时都会对其进行签名。VS Code在您安装扩展时会检查此签名，以验证扩展包的完整性和来源。
秘密扫描：Marketplace会自动扫描每个新发布的扩展，查找秘密信息，如API密钥或凭据（例如，Azure DevOps PAT令牌）。如果检测到任何秘密信息，发布将被阻止，以防止潜在的安全风险。VSCE工具在打包时会扫描.env文件，如果发现秘密信息，则会阻止发布。

有关这些措施的更多信息，请参阅Visual Studio Marketplace中的安全与信任博客文章。

举报可疑扩展

如果您看到任何看起来可疑的扩展，请向Marketplace团队举报该扩展。Marketplace团队将在一个工作日内提供初步响应。

举报扩展

在Visual Studio Marketplace中打开扩展页面。
在扩展的更多信息部分的底部，选择举报问题链接。