VS Codeのエージェントモードを拡張するには、を試してください!

Event-Stream パッケージのセキュリティ更新

更新日: 2019年6月23日

拡張機能の作成者と協力し、彼らの拡張機能と依存関係を更新するよう努めてきました。

以下は、現在ブロックされている拡張機能のリストです

  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joaquin6.package-watch
  • KazuoCode.gthubsum
  • MaxGotovkin.tslens

2018年11月26日 Kai Maetzel、@kaimaetzel

人気のevent-stream NPMパッケージに悪意のある依存関係が含まれているという話は、すでにお聞きになっているかもしれません。詳細は以下のGitHubイシューで確認できます: https://github.com/dominictarr/event-stream/issues/116。この脆弱性は約2ヶ月前から存在していましたが、最近になって発見されました。

要約: Visual Studio Codeは、業界全体のNPM event-stream パッケージのセキュリティ問題の影響を受けておらず、このパッケージの影響を受ける拡張機能をVS Code Marketplaceから一時的に削除することで、積極的にユーザーベースを保護しました。

私たちは、影響があるかどうか、またどのように影響を受けるかを直ちに確認しました。まず、Visual Studio Codeをスキャンしました。Visual Studio Codeの製品インストール(Stable版およびInsiders版の両方)は安全です。

次に、VS Code Marketplaceのすべての拡張機能をスキャンしました。その結果、複数の拡張機能が影響を受けていることを特定しました。ユーザーとそれらの拡張機能の作成者の両方を保護するため、積極的な措置を講じ、それらの拡張機能を自動的にアンインストールすることにしました。ユーザーはこれらの拡張機能を削除するために何もする必要はありません。これらの拡張機能はマーケットプレイスからも非公開になります。

スキャン時、以下の拡張機能が悪意のあるコードを含んでいました

  • aoisupersix.bve5-language-support
  • apollographql.vscode-apollo
  • ardenivanov.svelte-intellisense
  • ballerina.ballerina
  • BattleBas.kivy-vscode
  • cesium.gltf-vscode
  • christianvoigt.argdown-vscode
  • codemooseus.vscode-devtools-for-chrome
  • curlybracket.vlocode
  • ivory-lab.jenkinsfile-support
  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joe-re.sql-language-server
  • jomiller.rtags-client
  • jorithvdheuvel.webdav
  • KazuoCode.gthubsum
  • kddejong.vscode-cfn-lint
  • Koihik.vscode-lua-format
  • myxvisual.vscode-ts-uml
  • OptimaSystems.vscode-apl-language-client
  • Paul-Ehigie-Paul.nativescript-extend
  • qoretechnologies.qorus-vscode
  • quantum.quantum-devkit-vscode
  • ritwickdey.LiveServer
  • rkoubou.ksp
  • roboceo.robojsx-plugin
  • salbert.comment-ts
  • SiteGo.spgo
  • terminus.tangram-vscode-plugin
  • tintrinh.php-refactor
  • tomoki1207.pdf
  • vlopes11.advpls-client
  • webhint.vscode-webhint
  • wix.stylable-intelligence
  • Yseop.vscode-yseopml
  • zfzackfrost.commentbars
  • Zowe.vscode-extension-for-zowe

現在、これらの拡張機能の作成者に通知している最中です。作成者が拡張機能を更新し、その通知を受け取り次第、更新を検証します。その後、マーケットプレイスから拡張機能を再インストールできるようになります。

拡張機能の作成者への注意: yeoman コードジェネレーターを使用して拡張機能を生成した場合、開発依存関係の一部として悪意のあるコードをインストールしている可能性があります。node_modules フォルダーを削除し、npm cache clean --force でnpmキャッシュをクリアしてから、npm install を再実行してください。

拡張機能の作成者は、vscode モジュールを 1.1.22 に更新する必要があります。

引き続き情報をお届けします。

Kai Maetzel(Microsoft)