Material Theme bị gỡ khỏi Marketplace của VS Code

 (web.archive.org)
1 điểm bởi GN⁺ 2025-02-27 | 1 bình luận | Chia sẻ qua WhatsApp

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-02-27
Ý kiến Hacker News

  • Isidor từ nhóm VS Code cho biết một thành viên cộng đồng đã phát hiện ý đồ độc hại thông qua việc phân tích bảo mật tiện ích mở rộng

    • Các nhà nghiên cứu bảo mật của Microsoft đã xác nhận điều này và còn phát hiện thêm mã đáng ngờ
    • Đã chặn nhà phát hành đó khỏi VS Marketplace, gỡ tất cả tiện ích mở rộng và xóa chúng khỏi các phiên bản VS Code
    • Việc này không liên quan đến vấn đề bản quyền hay giấy phép, mà là biện pháp xử lý đối với ý đồ độc hại
    • VS Marketplace đang tiếp tục đầu tư vào bảo mật, và thông tin về độ tin cậy khi chạy tiện ích mở rộng có thể xem trong tài liệu liên quan

  • Có người đã tạo một bản fork của tiện ích mở rộng có tên "Material Theme (But I Won't Sue You)"

    • Người bảo trì ban đầu đã chuyển mã nguồn sang trạng thái ngoại tuyến và đe dọa kiện những người lưu trữ phiên bản thay thế
    • Họ đã thực hiện các bước sau đối với bản fork
      • Cho phép nhóm VS Code kiểm tra ngay bây giờ để có thể lập tức gỡ xuống nếu phát hiện nội dung độc hại
      • Đã kiểm tra kỹ toàn bộ codebase và không phát hiện gì độc hại
      • Đã loại bỏ toàn bộ mã liên quan đến changelog, analytics, Open Collective và HTML rendering
      • Bộ nạp HTML + sanity hơi đáng lo ngại nhưng đã bị gỡ hoàn toàn
      • Qua hai PR, đã loại bỏ phần lớn dependency và hơn 7.000 dòng mã

  • Có người trên Reddit đã phát hiện những thay đổi đáng ngờ trong tiện ích mở rộng này từ 7 tháng trước

    • Việc làm rối mã trong phần mềm nguồn mở là một dấu hiệu cảnh báo nghiêm trọng
    • Microsoft cần xem xét lại mô hình bảo mật cho tiện ích mở rộng VS Code
    • Có khả năng các tiện ích mở rộng độc hại sẽ tiếp tục xuất hiện

  • Có người cho rằng người bảo trì tiện ích mở rộng này không ổn định về mặt tinh thần

    • Kém về kỹ thuật nên đẩy những người tốt ra xa
    • Dù không dùng phần mềm này, họ vẫn mong người đó vượt qua được chuyện này

  • Một bản thay thế có tên "Material Theme (But I Won't Sue You)" đã được tải lên

  • Có người hỏi liệu ai có thể tìm ra phần độc hại trong kho lưu trữ hay không

    • Có báo cáo rằng đã tìm thấy mã bị làm rối

  • Các vấn đề liên quan đến Material Theme trước đây cũng từng xảy ra trên IntelliJ

    • Khi đó, vấn đề không chỉ đơn thuần là màu sắc

  • Thật thú vị khi học được sự khác biệt giữa nhiều kiểu người khác nhau qua Internet

    • Người ta thấy những trường hợp cực đoan của việc cài quá nhiều dependency
    • Sau vụ log4j, họ trở nên nhạy cảm hơn với các lỗ hổng bảo mật
    • Nếu một công ty muốn mở rộng thành công thì phải đi tiếp mà không gặp sự cố bảo mật
    • Có những người sẵn sàng đặt công ty và danh tiếng vào rủi ro chỉ vì màu sắc
    • Cuối cùng, điều quan trọng là mỗi người sống cuộc đời theo cách của mình

  • Có người thấy việc nhận đóng góp từ người khác rồi sau đó chuyển mã nguồn sang riêng tư là điều kỳ lạ

    • Không phải chuyên gia về bản quyền, nhưng cảm thấy như vậy là không đúng