# Material Theme, VS Code 마켓플레이스에서 제거

> Clean Markdown view of GeekNews topic #19455. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=19455](https://news.hada.io/topic?id=19455)
- GeekNews Markdown: [https://news.hada.io/topic/19455.md](https://news.hada.io/topic/19455.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-02-27T09:45:58+09:00
- Updated: 2025-02-27T09:45:58+09:00
- Original source: [web.archive.org](https://web.archive.org/web/20250226020241/https://github.com/material-theme/vsc-material-theme/discussions/1313)
- Points: 1
- Comments: 1

## Topic Body

_No topic body._

## Comments



### Comment 35183

- Author: neo
- Created: 2025-02-27T09:45:58+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=43178831) 
- VS Code 팀의 Isidor가 커뮤니티 멤버가 확장 프로그램의 보안 분석을 통해 악의적인 의도를 발견했다고 보고함
  - Microsoft의 보안 연구자들이 이를 확인하고 추가로 의심스러운 코드를 발견함
  - 해당 게시자를 VS Marketplace에서 차단하고 모든 확장 프로그램을 제거 및 VS Code 인스턴스에서 제거함
  - 저작권이나 라이선스 문제와는 관련이 없으며, 악의적인 의도에 대한 조치임
  - VS Marketplace는 보안에 지속적으로 투자하고 있으며, 확장 프로그램 실행 신뢰성에 대한 정보는 관련 문서에서 확인 가능함

- "Material Theme (But I Won't Sue You)"라는 확장 프로그램의 포크를 만든 사람이 있음
  - 원래 유지보수자가 소스를 오프라인으로 전환하고 대체 버전을 호스팅하는 사람들을 고소하겠다고 위협함
  - 포크에 대해 다음과 같은 조치를 취함
    - VS Code 팀이 현재 감사를 진행 중이며, 악의적인 것이 발견되면 즉시 제거할 수 있도록 허가함
    - 코드베이스를 철저히 감사했으며, 악의적인 것은 발견되지 않음
    - 변경 로그, 분석, Open Collective 및 HTML 렌더링과 관련된 모든 코드를 제거함
    - HTML + sanity 로더가 약간 우려되었으나 완전히 제거함
    - 두 개의 PR로 대부분의 종속성과 7,000줄 이상의 코드를 제거함

- Reddit에서 7개월 전에 이 확장 프로그램의 의심스러운 변경 사항을 발견한 사람이 있음
  - 오픈 소스에서의 난독화는 심각한 경고 신호임
  - Microsoft는 VS Code 확장 프로그램에 대한 보안 모델을 재고해야 함
  - 악의적인 확장 프로그램이 계속 등장할 가능성이 있음

- 어떤 사람은 이 확장 프로그램의 유지보수자가 정신적으로 불안정하다고 생각함
  - 기술에 서툴러서 좋은 사람들을 멀리하게 됨
  - 소프트웨어를 사용하지 않지만, 이 에피소드에서 벗어나기를 바람

- "Material Theme (But I Won't Sue You)"라는 대체 프로그램이 업로드됨

- 누군가가 저장소에서 악의적인 부분을 찾을 수 있는지 질문함
  - 난독화된 코드를 발견했다고 보고함

- Material Theme와 관련된 문제는 이전에도 IntelliJ에서 발생한 적이 있음
  - 그 당시에는 단순히 색상 문제는 아니었음

- 인터넷을 통해 다양한 사람들의 차이를 배우는 것이 흥미로움
  - 많은 종속성을 설치하는 극단적인 사례를 보게 됨
  - log4j 사건 이후 보안 취약점에 대해 민감해짐
  - 회사가 성공적으로 확장하려면 보안 사고 없이 진행해야 함
  - 색상 때문에 회사와 명성을 위험에 빠뜨리는 사람들을 보게 됨
  - 결국, 각자의 방식으로 삶을 살아가는 것이 중요함

- 다른 사람들의 기여를 받아들인 후 소스를 비공개로 전환한 것이 이상하다고 생각함
  - 저작권 전문가가 아니지만, 옳지 않다고 느낌