Material Theme、VS Code マーケットプレイスから削除

Hacker Newsの意見

• VS CodeチームのIsidorが、コミュニティメンバーが拡張機能のセキュリティ分析を通じて悪意ある意図を発見したと報告

  • Microsoftのセキュリティ研究者がこれを確認し、さらに不審なコードを発見
  • 当該公開者をVS Marketplaceからブロックし、すべての拡張機能を削除し、VS Codeインスタンスからも除去
  • 著作権やライセンスの問題とは無関係で、悪意ある意図に対する措置
  • VS Marketplaceはセキュリティに継続的に投資しており、拡張機能実行の信頼性に関する情報は関連ドキュメントで確認可能

• "Material Theme (But I Won't Sue You)" という拡張機能のフォークを作成した人がいる

  • 元のメンテナーがソースを非公開化し、代替版をホスティングする人々を訴えると脅した
  • フォークに対して次のような対応を実施
    • VS Codeチームが現在監査を行っており、悪意あるものが見つかれば直ちに削除できるよう許可
    • コードベースを徹底的に監査し、悪意あるものは発見されず
    • 変更ログ、分析、Open Collective、およびHTMLレンダリングに関連するすべてのコードを削除
    • HTML + sanityローダーはやや懸念があったが完全に削除
    • 2つのPRで依存関係の大半と7,000行以上のコードを削除

• Redditで7か月前にこの拡張機能の不審な変更を発見した人がいる

  • オープンソースにおける難読化は深刻な警告サイン
  • MicrosoftはVS Code拡張機能のセキュリティモデルを再考すべき
  • 悪意ある拡張機能が今後も現れ続ける可能性がある

• ある人はこの拡張機能のメンテナーが精神的に不安定だと考えている

  • 技術に不慣れであるために良い人たちを遠ざけてしまう
  • そのソフトウェアは使っていないが、この出来事を乗り越えてほしいと願っている

• "Material Theme (But I Won't Sue You)" という代替プログラムがアップロードされた

• 誰かがリポジトリ内で悪意ある部分を見つけられるかと質問

  • 難読化されたコードを発見したと報告

• Material Themeに関連する問題は以前IntelliJでも発生したことがある

  • その時は単なる色の問題ではなかった

• インターネットを通じてさまざまな人の違いを知るのは興味深い

  • 大量の依存関係をインストールする極端な事例を見ることになる
  • log4j事件以後、セキュリティ脆弱性に敏感になった
  • 企業が成功裏にスケールするには、セキュリティインシデントなしに進めなければならない
  • 色のために会社と評判を危険にさらす人たちがいるのを目にする
  • 結局のところ、それぞれが自分なりのやり方で生きることが重要

• 他人の貢献を受け入れた後でソースを非公開化したのは奇妙だと思う

  • 著作権の専門家ではないが、正しくないと感じる