Hacker News 의견
-
VS Code 팀의 Isidor가 커뮤니티 멤버가 확장 프로그램의 보안 분석을 통해 악의적인 의도를 발견했다고 보고함
- Microsoft의 보안 연구자들이 이를 확인하고 추가로 의심스러운 코드를 발견함
- 해당 게시자를 VS Marketplace에서 차단하고 모든 확장 프로그램을 제거 및 VS Code 인스턴스에서 제거함
- 저작권이나 라이선스 문제와는 관련이 없으며, 악의적인 의도에 대한 조치임
- VS Marketplace는 보안에 지속적으로 투자하고 있으며, 확장 프로그램 실행 신뢰성에 대한 정보는 관련 문서에서 확인 가능함
-
"Material Theme (But I Won't Sue You)"라는 확장 프로그램의 포크를 만든 사람이 있음
- 원래 유지보수자가 소스를 오프라인으로 전환하고 대체 버전을 호스팅하는 사람들을 고소하겠다고 위협함
- 포크에 대해 다음과 같은 조치를 취함
- VS Code 팀이 현재 감사를 진행 중이며, 악의적인 것이 발견되면 즉시 제거할 수 있도록 허가함
- 코드베이스를 철저히 감사했으며, 악의적인 것은 발견되지 않음
- 변경 로그, 분석, Open Collective 및 HTML 렌더링과 관련된 모든 코드를 제거함
- HTML + sanity 로더가 약간 우려되었으나 완전히 제거함
- 두 개의 PR로 대부분의 종속성과 7,000줄 이상의 코드를 제거함
-
Reddit에서 7개월 전에 이 확장 프로그램의 의심스러운 변경 사항을 발견한 사람이 있음
- 오픈 소스에서의 난독화는 심각한 경고 신호임
- Microsoft는 VS Code 확장 프로그램에 대한 보안 모델을 재고해야 함
- 악의적인 확장 프로그램이 계속 등장할 가능성이 있음
-
어떤 사람은 이 확장 프로그램의 유지보수자가 정신적으로 불안정하다고 생각함
- 기술에 서툴러서 좋은 사람들을 멀리하게 됨
- 소프트웨어를 사용하지 않지만, 이 에피소드에서 벗어나기를 바람
-
"Material Theme (But I Won't Sue You)"라는 대체 프로그램이 업로드됨
-
누군가가 저장소에서 악의적인 부분을 찾을 수 있는지 질문함
- 난독화된 코드를 발견했다고 보고함
-
Material Theme와 관련된 문제는 이전에도 IntelliJ에서 발생한 적이 있음
- 그 당시에는 단순히 색상 문제는 아니었음
-
인터넷을 통해 다양한 사람들의 차이를 배우는 것이 흥미로움
- 많은 종속성을 설치하는 극단적인 사례를 보게 됨
- log4j 사건 이후 보안 취약점에 대해 민감해짐
- 회사가 성공적으로 확장하려면 보안 사고 없이 진행해야 함
- 색상 때문에 회사와 명성을 위험에 빠뜨리는 사람들을 보게 됨
- 결국, 각자의 방식으로 삶을 살아가는 것이 중요함
-
다른 사람들의 기여를 받아들인 후 소스를 비공개로 전환한 것이 이상하다고 생각함
- 저작권 전문가가 아니지만, 옳지 않다고 느낌