Что такое «Доверие рабочей области» в Visual Studio Code?
Visual Studio Code версии 1.57 запущен в мае 2021 года с новой функцией «Доверие рабочей области». Это механизм безопасности, который помогает вам избежать случайного выполнения кода, когда вы не можете доверять происхождению репозитория.
Workspace Trust активен по умолчанию. Когда вы откроете новую папку, Code отобразит диалоговое окно с предложением доверять файлам внутри. Если вы ответите «да», редактор будет работать нормально. Если вы нажмете «нет», Code перейдет в новый «ограниченный режим» с ограниченной функциональностью.
Что отключается в ограниченном режиме?
Ограниченный режим предназначен для предотвращения запуска ненадежного кода. Функции Visual Studio, которые запускают файлы, будут отключены, чтобы защитить вас от угроз, которые вы не полностью проверили.
Функции отладки отключены, что предотвращает случайный запуск загруженного исполняемого файла. Visual Studio также отключит задачи, определенные в файле рабочей области. Задачи в файле .vscode могут запускать двоичные файлы и сценарии, поэтому репозиторий, содержащий их, представляет угрозу безопасности.
Любые пользовательские расширения, которые могут запускать код, будут отключены или переведены в состояние ограниченной функциональности. Некоторые настройки рабочей области также могут быть переопределены, чтобы ограничить доступ к загружаемым файлам .vscode.
Использование ограниченного режима позволяет вам проверять важные части только что загруженного проекта. Вы получаете возможность убедиться в отсутствии подозрительного поведения, не рискуя реальным выполнением кода. Как только вы выйдете из ограниченного режима, ваши обычные настройки будут применены, а отладка будет повторно активирована.
Когда Workspace Trust включен, вы будете видеть подсказку каждый раз, когда открываете новую папку в ненадежном месте. Вам нужно будет выбрать, включить ли все функции или открыть рабочее пространство в ограниченном режиме.
Зачем беспокоиться?
Visual Studio Code превратился в мощный редактор кода с поддержкой тысяч расширений. Многие из этих сторонних инструментов запускаются автоматически и добавляются в файл настроек вашего рабочего пространства. Этот файл часто фиксируется в системе управления версиями, чтобы им можно было поделиться с членами команды.
Вполне возможно, что хитрый злоумышленник может создать репозиторий, который выглядит подлинным, но при загрузке в редактор запускает вредоносный код. Workspace Trust является ответом на эту возможность. Это обеспечивает большую безопасность при проверке программного обеспечения с открытым исходным кодом и другого кода, полученного от третьих лиц.
Отключение доверия рабочей области
Workspace Trust помогает избежать потенциально опасного непреднамеренного выполнения кода. Использование этой функции дает вам дополнительный уровень защиты от незнакомых репозиториев. Тем не менее, вас могут раздражать подсказки, если вы регулярно используете код из новых источников.
Вы можете полностью отключить Workspace Trust, установив для параметра security.workspace.trust.enabled значение false. Вы можете найти это в пользовательском интерфейсе, нажав «Файл»> «Настройки»> «Настройки» и выполнив поиск «доверие к рабочему пространству». Флажок будет отображаться как «Безопасность > Рабочая область > Доверие: включено». Если вы хотите только однократный запуск без Workspace Trust, добавьте флаг командной строки --disable-workspace-trust.
Настройка доверия рабочей области
Workspace Trust предлагает несколько параметров, позволяющих точно настроить его поведение. Используйте процедуру, описанную выше, для просмотра параметров доверия рабочей области в пользовательском интерфейсе.
«Пустое окно» управляет тем, что происходит, когда вы используете окно без открытых папок. Когда флажок установлен, окно будет считаться доверенным по умолчанию. В противном случае вам нужно будет вручную доверять ему, как обычной папке.
Параметр «Ненадежные файлы» определяет, что произойдет, если вы «Файл»> «Открыть файл из ненадежного места в доверенном окне». Поведение по умолчанию — запрашивать перед продолжением. Вы можете изменить это, чтобы всегда открывать файл или принудительно открывать новое окно, которому автоматически не доверяют.
Другой параметр позволяет переопределить реакцию расширений на Workspace Trust. Это необходимо установить вручную в файле settings.json. Добавьте ключ extensions.supportUntrustedWorkspaces с объектом JSON в качестве значения. Добавьте идентификаторы расширений в качестве ключей в этот объект. Каждое расширение может иметь значение true, limited или false.
{
"extensions": {
"supportUntrustedWorkspaces": {
"my-extension": true
}
}
}Расширение, указанное как true, будет всегда включено, даже в ненадежной рабочей области. Расширения с false будут загружаться только в доверенных рабочих областях. Расширения limited будут добавлены в ненадежные рабочие области, но с отключенной «надежной» функциональностью. Вы не сможете использовать задачи, предоставляемые этими расширениями.
Управление доверенными папками
Вы можете просматривать папки, помеченные как доверенные, и управлять ими из Visual Studio Code. Нажмите Ctrl+Shift+P, чтобы вызвать палитру команд. Найдите «доверие к рабочему пространству» и выберите в меню пункт «Рабочие пространства: управление доверием к рабочему пространству».
Этот экран показывает статус доверия вашего текущего окна. Вы можете переключиться в ограниченный режим, нажав «Не доверять». Кроме того, нажмите кнопку «Доверие», чтобы включить все функции, если вы в настоящее время находитесь в состоянии с ограниченным доступом.
В разделе «Надежные папки и рабочие пространства» перечислены все каталоги, которые вы пометили как надежные. Вы можете отозвать доверие местоположения, щелкнув его и нажав кнопку «X» справа.
Доверие наследуется всеми подкаталогами. Если вы доверяете папке верхнего уровня, такой как /home/me/projects, все ваши репозитории автоматически становятся доверенными. Это ставит под угрозу эффективность системы Workspace Trust.
Заключение
Workspace Trust — это многообещающая новая защита безопасности для пользователей Visual Studio Code. Опасности непреднамеренного выполнения кода в IDE только начинают проявляться. Хотя некоторых могут разочаровать подсказки о доверии, они могут помочь защитить вашу машину от опасных источников.
Маловероятно, что вы захотите, чтобы рабочее пространство оставалось в ограниченном режиме в течение длительного времени. Хотя вы по-прежнему можете просматривать и редактировать файлы, вы потеряете многие из самых мощных функций Visual Studio Code. Лучше всего просматривать исполняемые файлы, создавать скрипты и файлы .vscode в репозитории, проверять на наличие любых опасностей, а затем доверять этому местоположению, когда вы уверены, что оно будет вести себя должным образом.