KUNGFU TECH

0
0
Lập trình
Hưng Nguyễn Xuân 1
Hưng Nguyễn Xuân 1xuanhungptithcm

An Toàn Các Tiện Ích VSCode? Rủi Ro Chúng Ta Bỏ Qua

Đăng vào 5 tháng trước

• 5 phút đọc

Chủ đề:

#productivity#cybersecurity#security#vscode

An Toàn Các Tiện Ích VSCode? Rủi Ro Chúng Ta Bỏ Qua

Mỗi lập trình viên mà tôi biết đều có một thói quen giống nhau:

  1. Mở VSCode.
  2. Tìm kiếm một tiện ích mở rộng để giải quyết vấn đề.
  3. Nhấn Cài đặt.

Xong. Quay lại lập trình.

Có vẻ như điều này vô hại — gần như là một thói quen. Nhưng mỗi cú nhấp chuột đều cho phép mã của người khác thực thi trong trình soạn thảo của bạn. Và đôi khi, sự tin tưởng đó không được đặt đúng chỗ.

Vấn Đề Im Lặng Với Các Tiện Ích

Các tiện ích mở rộng của VSCode không phải là những món đồ nhỏ được cách ly. Chúng có thể:

  • Đọc và ghi tệp trong không gian làm việc của bạn.
  • Khởi động các tiến trình nền.
  • Gửi dữ liệu qua mạng.

Và điều đáng sợ là? Ngay cả một tiện ích “trông an toàn” cũng có thể trở nên rủi ro bất ngờ nếu người duy trì bán nó hoặc nếu một phụ thuộc bị xâm phạm. Các cuộc tấn công chuỗi cung ứng phát triển mạnh mẽ chính trong những điểm mù này.

Chúng ta đã thấy những ví dụ mà các tiện ích với hàng triệu lượt tải xuống bị phát hiện làm những việc mờ ám: khai thác tiền điện tử, thu thập thông tin đăng nhập, chèn quảng cáo. Hầu hết chúng trông hợp pháp cho đến khi ai đó cuối cùng xem xét mã nguồn.

Tại Sao Chúng Ta Ít Khi Nhận Ra

Chợ VSCode cung cấp cho chúng ta sao, đánh giá và số lượt tải xuống — nhưng không có điều gì trong số đó cho biết điều gì đang xảy ra bên trong. Một tiện ích chủ đề với mười dòng CSS vẫn có thể yêu cầu quyền truy cập vào hệ thống tệp. Một trình kiểm tra có thể âm thầm thu thập dữ liệu.

Và thật sự, hầu hết trong chúng ta chưa bao giờ đọc manifest hay mã nguồn trước khi cài đặt. Chúng ta chỉ tin tưởng vào các con số.

Công Cụ Giúp Chúng Ta Nhìn Thấy

Vì lý do đó, các công cụ phân tích bảo mật cho các tiện ích mở rộng rất quan trọng. VSCan là một ví dụ — nó quét các tiện ích mở rộng của VSCode và làm nổi bật những điều mà các lập trình viên thường bỏ qua:

  • Quyền truy cập quá rộng.
  • Các phụ thuộc lỗ hổng hoặc đã lỗi thời.
  • Các mối quan tâm về quyền riêng tư hoặc bảo mật.

Nó tạo ra một báo cáo rõ ràng để bạn có thể đưa ra quyết định thông minh trước khi nhấn Cài đặt.

Thói Quen Tốt Hơn

Chúng ta đã bình thường hóa việc chạy npm audit hoặc kiểm tra hình ảnh Docker cho các CVE. Tại sao không áp dụng điều đó cho trình soạn thảo của chúng ta?

Lần tới khi bạn chuẩn bị cài đặt tiện ích “Markdown Preview Ultra++” sáng bóng đó, hãy dừng lại. Hãy hỏi:

  • Nó có thực sự cần những quyền mà nó yêu cầu không?
  • Ai duy trì nó, và kho lưu trữ có hoạt động tích cực không?
  • Có ai đó đã kiểm tra các phụ thuộc của nó gần đây không?

Nếu bạn muốn một khởi đầu nhanh chóng, chạy nó qua một công cụ như VSCan chỉ mất vài giây.

Suy Nghĩ Kết Thúc

Các tiện ích mà chúng ta cài đặt không chỉ là những công cụ tăng năng suất — mà chúng còn là một phần trong bề mặt tấn công của chúng ta. Chúng ta càng sớm coi chúng như vậy, quy trình làm việc của chúng ta sẽ càng an toàn.

Vì vậy, có thể lần sau khi bạn nhấn Cài đặt, đừng chỉ nhìn vào số sao. Hãy xem xét bên trong.

👉 Hãy thử quét các tiện ích mở rộng của bạn: vscan.dev

Các Thực Tiễn Tốt Nhất

  • Đọc Bình Luận và Đánh Giá: Trước khi cài đặt, hãy kiểm tra các bình luận và đánh giá từ những người dùng khác. Điều này có thể giúp bạn hiểu rõ hơn về tính an toàn của tiện ích.
  • Cập Nhật Thường Xuyên: Hãy đảm bảo rằng bạn thường xuyên cập nhật các tiện ích mở rộng để tránh các lỗ hổng bảo mật đã được khắc phục.

Những Cạm Bẫy Thường Gặp

  • Tin Tưởng Quá Nhiều: Đừng chỉ dựa vào số lượng lượt tải xuống hay sao. Điều quan trọng là phải kiểm tra mã nguồn và quyền truy cập.
  • Bỏ Qua Các Cập Nhật: Nhiều lập trình viên không chú ý đến các cập nhật mà tiện ích yêu cầu, điều này có thể tạo ra lỗ hổng bảo mật.

Mẹo Tối Ưu Hiệu Suất

  • Sử Dụng Các Công Cụ Kiểm Tra: Sử dụng các công cụ như VSCan để phân tích các tiện ích mở rộng và giảm thiểu rủi ro.
  • Giới Hạn Quyền Truy Cập: Chỉ cấp quyền cần thiết cho các tiện ích mở rộng, tránh cấp quyền không cần thiết.

Giải Quyết Vấn Đề

  • Nếu bạn phát hiện một tiện ích mở rộng có hành vi đáng ngờ, hãy gỡ bỏ ngay lập tức và tìm kiếm các giải pháp thay thế an toàn hơn.
  • Theo dõi các thông báo về bảo mật từ cộng đồng VSCode để luôn cập nhật thông tin.

Câu Hỏi Thường Gặp

  1. Làm thế nào để biết một tiện ích mở rộng có an toàn không?
    • Kiểm tra đánh giá, quyền truy cập và mã nguồn của tiện ích.
  2. Tôi có thể sử dụng công cụ nào để kiểm tra an ninh?
    • Sử dụng VSCan để phân tích tiện ích mở rộng.
  3. Có cần thiết phải gỡ bỏ tiện ích mở rộng không?
    • Nếu bạn phát hiện hành vi đáng ngờ, hãy gỡ bỏ ngay lập tức.

Tài Nguyên Tham Khảo

Hãy nhớ rằng, bảo mật không chỉ là trách nhiệm của nhà phát triển mà còn là trách nhiệm của từng lập trình viên trong việc bảo vệ môi trường làm việc của mình.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào