ネットサービス

悪意のあるVSCode拡張機能を検出できる「VSCan」


Visual Studio Code(VScode)向けに公開されている拡張機能のコードをチェックし、セキュリティ上の問題がないかをチェックする無料診断ツール「VSCan」が公開されています。

VSCan | VSCode Extension Security Analyzer
https://vscan.dev/

VSCanに拡張機能の名前あるいはIDを入力すると診断結果を出してくれます。


VSCanは、公開されているコードなどをチェックし、マルウェアやスパイウェアがないか、悪用可能な脆弱(ぜいじゃく)性はないか、依存関係から継承されたサプライチェーンのリスクはないか、過剰なアクセスを要求する権限の乱用はないか、不適切なデータ収集または送信をするプライバシーに関する懸念はないかを確かめます。

これにより、デバイスの重要な権限を利用して動作することもあるVSCodeの拡張機能の安全性について、拡張機能を利用する前に確かめることができます。

コード分析では、問題があると思われる部分にフラグが付けられます。これを見て人間はコードが意図するところをチェックすることができます。


VSCanのスキャンは完璧ではなく、開発者の意図や具体的な用途を完全に理解せず、過ったフラグを付けてしまうこともあります。VSCanの開発元は「あくまでコードレビューのための出発点として使ってほしい」としています。

この記事のタイトルとURLをコピーする

・関連記事
VSCodeの一部拡張機能にファイルを暗号化して身代金を要求する悪意のある機能が仕込まれていたことが明らかに - GIGAZINE

VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意あるコードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかになったという報告 - GIGAZINE

6万5000人以上の開発者に「好きな言語」「好きなOS」「好きな開発環境」「好きなAI」を聞いた年次調査「2024 Stack Overflow Developer Survey」の結果が公開される - GIGAZINE

・関連コンテンツ

in ネットサービス, Posted by log1p_kr

You can read the machine translated English article VSCan can detect malicious VSCode extens….