VSCodeベースの開発環境に脆弱性、マルウェア感染を導く恐れ

推奨拡張機能が実はマルウェアへの入り口とか、開発環境の汚染ハードル低すぎて草

fork先にコードを利用された上に、脆弱性の根本原因みたいなタイトル付けられるVSCodeさんかわいそう

こんなアプローチで爆発したか

“VSCodeは推奨する拡張機能の一覧をハードコードして出荷しており”／Dockerfile開いたら、Dockerの拡張入れますか？みたいなの聞いてくるやつ？？

脆弱性といいつつCVE番号無いのか

代替マーケットプレイスに変更するときに推奨する拡張機能の一覧も変えないのが悪いのか、推奨する拡張機能の一覧にどのマーケットプレイスからという情報も入っていないのが悪いのか…。

ハードコードって各ソフトそれぞれ自前でコードforkして改造してるんだから自前で修正すればいいんじゃないの？って思ったんだけど、そういう話じゃ無いの？証明書入ってて改変するとコンパイルできなくなるとか？

拡張機能は普通に怖いので最小限にするのがよろしい。

『WindsurfはKoi Securityの報告に応答しなかった』

うーむ

“Visual Studio Codeから派生した統合開発環境(IDE: Integrated Development Environment)のCursor、Windsurf、Google Antigravity、Traeから脆弱性を発見したと報じた。 攻撃者は特定の条件を満たす拡”