微軟在Visual Studio 2022第3預覽版本重新設計了信任配置功能,其目的是要提高開發者對於陌生程式碼風險的意識,並協助防範惡意攻擊者,從開啟內容到建置和執行應用程式,Visual Studio 2022能夠提供額外的安全防護。

微軟提到,近來軟體開發人員開始成為攻擊者的目標,出現像是Nobelium、Octopus Scanner和ZINC開源函式庫攻擊事件,而微軟試著提供安全工具鏈,讓開發者能夠更小心處理不受信任的內容。Visual Studio能夠評估開發者要開啟的內容,在設計階段的建置動作,能辨識專案結構和相依性,以提供豐富的功能,但是從威脅評估的角度來看,微軟表示,建置程式碼相當於執行,而這代表攻擊者可以創建一個場景,讓開發者只需要在Visual Studio中開啟內容,就有可能遭受攻擊。

在Visual Studio 2015的時候,微軟開始注意到這個問題,因此將信任範圍擴展到專案之外的項目,並且使用來自網路內容標籤來提示開發者,但是因為標籤使用規則不一致,導致整體設計出現問題,而且隨著開源軟體興盛,大多數開發人員取得和使用專案樣板的方式出現變化,因此這些安全顧慮再次成為值得關注問題。

在Visual Studio 2022中,微軟徹底更改了信任配置功能,在開發者嘗試開啟未受信任的內容時,能夠提供額外的安全防護,這個新功能主要由可信位置(Trusted Locations)和受限模式(Restricted Mode)兩部分構成。開發者在Visual Studio 2022第3預覽版本可以手動啟用可信位置功能,開啟之後,當Visual Studio偵測到開發者嘗試要開啟不受信任內容時,便會警示用戶相關的安全疑慮。

當開發者啟用可信位置功能,在Visual Studio 2022中開啟的所有內容,都會被視為不受信任,除非開發者或是企業透過群組政策,把這些內容添加到受信任位置列表中,用戶可以藉由配置資料夾位置、git儲存庫或是git儲存庫擁有者,來設定可信任內容。微軟提到,之中有許多安全性和可用性的權衡,因此他們最佳化了多種工作流程,盡量降低對開發者造成的影響。

不過,要信任原始碼並不是一個簡單的決定,開發者通常需要手動檢查程式碼,才能消除部分安全性疑慮,因此微軟也加入了受限模式,讓開發者能夠瀏覽和編輯不受信任的原始碼。雖然在這個模式中,開發者無法使用程式碼分析器或是視覺設計工具等設計時建置功能,但是能夠打開和檢查不受信任的程式碼,避免遠端程式碼執行等風險。

開發者可以Visual Studio 2022第3預覽版本啟用可信位置功能,微軟也提到,在下一個版本該功能會預設啟用,企業現在已經可以利用Windows群組政策,來設定受信任的儲存庫,並且禁止信任以及開啟限制之外的內容。而受限模式目前仍未開放,開發者還需要再等等。


熱門新聞

Advertisement