▲GN⁺ 2025-02-27 | parent | ★ favorite | on: Material Theme, VS Code 마켓플레이스에서 제거(web.archive.org)Hacker News 의견 VS Code 팀의 Isidor가 커뮤니티 멤버가 확장 프로그램의 보안 분석을 통해 악의적인 의도를 발견했다고 보고함 Microsoft의 보안 연구자들이 이를 확인하고 추가로 의심스러운 코드를 발견함 해당 게시자를 VS Marketplace에서 차단하고 모든 확장 프로그램을 제거 및 VS Code 인스턴스에서 제거함 저작권이나 라이선스 문제와는 관련이 없으며, 악의적인 의도에 대한 조치임 VS Marketplace는 보안에 지속적으로 투자하고 있으며, 확장 프로그램 실행 신뢰성에 대한 정보는 관련 문서에서 확인 가능함 "Material Theme (But I Won't Sue You)"라는 확장 프로그램의 포크를 만든 사람이 있음 원래 유지보수자가 소스를 오프라인으로 전환하고 대체 버전을 호스팅하는 사람들을 고소하겠다고 위협함 포크에 대해 다음과 같은 조치를 취함 VS Code 팀이 현재 감사를 진행 중이며, 악의적인 것이 발견되면 즉시 제거할 수 있도록 허가함 코드베이스를 철저히 감사했으며, 악의적인 것은 발견되지 않음 변경 로그, 분석, Open Collective 및 HTML 렌더링과 관련된 모든 코드를 제거함 HTML + sanity 로더가 약간 우려되었으나 완전히 제거함 두 개의 PR로 대부분의 종속성과 7,000줄 이상의 코드를 제거함 Reddit에서 7개월 전에 이 확장 프로그램의 의심스러운 변경 사항을 발견한 사람이 있음 오픈 소스에서의 난독화는 심각한 경고 신호임 Microsoft는 VS Code 확장 프로그램에 대한 보안 모델을 재고해야 함 악의적인 확장 프로그램이 계속 등장할 가능성이 있음 어떤 사람은 이 확장 프로그램의 유지보수자가 정신적으로 불안정하다고 생각함 기술에 서툴러서 좋은 사람들을 멀리하게 됨 소프트웨어를 사용하지 않지만, 이 에피소드에서 벗어나기를 바람 "Material Theme (But I Won't Sue You)"라는 대체 프로그램이 업로드됨 누군가가 저장소에서 악의적인 부분을 찾을 수 있는지 질문함 난독화된 코드를 발견했다고 보고함 Material Theme와 관련된 문제는 이전에도 IntelliJ에서 발생한 적이 있음 그 당시에는 단순히 색상 문제는 아니었음 인터넷을 통해 다양한 사람들의 차이를 배우는 것이 흥미로움 많은 종속성을 설치하는 극단적인 사례를 보게 됨 log4j 사건 이후 보안 취약점에 대해 민감해짐 회사가 성공적으로 확장하려면 보안 사고 없이 진행해야 함 색상 때문에 회사와 명성을 위험에 빠뜨리는 사람들을 보게 됨 결국, 각자의 방식으로 삶을 살아가는 것이 중요함 다른 사람들의 기여를 받아들인 후 소스를 비공개로 전환한 것이 이상하다고 생각함 저작권 전문가가 아니지만, 옳지 않다고 느낌
Hacker News 의견
VS Code 팀의 Isidor가 커뮤니티 멤버가 확장 프로그램의 보안 분석을 통해 악의적인 의도를 발견했다고 보고함
"Material Theme (But I Won't Sue You)"라는 확장 프로그램의 포크를 만든 사람이 있음
Reddit에서 7개월 전에 이 확장 프로그램의 의심스러운 변경 사항을 발견한 사람이 있음
어떤 사람은 이 확장 프로그램의 유지보수자가 정신적으로 불안정하다고 생각함
"Material Theme (But I Won't Sue You)"라는 대체 프로그램이 업로드됨
누군가가 저장소에서 악의적인 부분을 찾을 수 있는지 질문함
Material Theme와 관련된 문제는 이전에도 IntelliJ에서 발생한 적이 있음
인터넷을 통해 다양한 사람들의 차이를 배우는 것이 흥미로움
다른 사람들의 기여를 받아들인 후 소스를 비공개로 전환한 것이 이상하다고 생각함