ist jetzt verfügbar! Lesen Sie über die neuen Funktionen und Fehlerbehebungen vom November.

Sicherheit der Extension-Laufzeit

Extensions erweitern die Funktionalität von Visual Studio Code erheblich. Sie können jedoch auch Risiken bergen, wie z. B. die Ausführung von bösartigem Code und Bedenken hinsichtlich des Datenschutzes. Der Visual Studio Marketplace bietet viele Möglichkeiten, Sie vor schlechten Extensions zu schützen. Darüber hinaus bietet VS Code mehrere Indikatoren für die Zuverlässigkeit einer Extension.

Dieses Dokument beschreibt die Laufzeitberechtigungen von Extensions in VS Code und die vorhandenen Maßnahmen zum Schutz vor bösartigen Extensions. Sie erfahren, wie Sie eine fundierte Entscheidung über die Zuverlässigkeit einer Extension treffen können, bevor Sie sie installieren.

Informationen zu Laufzeitberechtigungen von Extensions

Der Extension-Host ist für die Ausführung von Extensions in VS Code verantwortlich. Der Extension-Host hat die gleichen Berechtigungen wie VS Code selbst. Das bedeutet, dass jede Aktion, die VS Code ausführen kann, auch eine Extension über den Extension-Host ausführen kann.

Zum Beispiel kann eine Extension Dateien auf Ihrem Computer lesen und schreiben, Netzwerkanfragen stellen, externe Prozesse ausführen und Workspace-Einstellungen ändern.

Vertrauen in Extension-Publisher

Ab VS Code-Version 1.97 zeigt VS Code beim erstmaligen Installieren einer Extension eines Drittanbieter-Publishers einen Dialog an, der Sie auffordert zu bestätigen, dass Sie dem Publisher dieser Extension vertrauen.

Wenn Sie dem Publisher eines Extension-Packs oder einer Extension mit Abhängigkeiten zu anderen Extensions vertrauen, vertrauen Sie auch den Publishern der abhängigen Extensions.

Publisher von Extensions, die Sie zuvor installiert haben, gelten als vertrauenswürdig und werden automatisch zur Liste der vertrauenswürdigen Publisher hinzugefügt.

Sie können die Liste der vertrauenswürdigen Extensions mit dem Befehl Extensions: Manage Trusted Extensions Publishers verwalten.

Wichtig

Wenn Sie Extensions über die VS Code-Kommandozeile installieren, wird der Publisher der Extension nicht automatisch als vertrauenswürdig eingestuft.

Zuverlässigkeit von Extensions ermitteln

Bevor Sie eine Extension installieren, können Sie verschiedene Schritte unternehmen, um festzustellen, ob sie zuverlässig ist. Der Visual Studio Marketplace stellt Ihnen Informationen über die Extension zur Verfügung, die Ihnen helfen, eine fundierte Entscheidung zu treffen.

  • Bewertungen & Rezensionen: Lesen Sie, was andere über die Extension denken.

  • Fragen & Antworten: Überprüfen Sie vorhandene Fragen und die Reaktionsfähigkeit des Publishers. Sie können sich auch mit dem Publisher der Extension in Verbindung setzen, wenn Sie Bedenken haben.

  • Issues, Repository und Lizenz: Prüfen Sie, ob der Publisher diese Angaben gemacht hat und ob die Unterstützung Ihren Erwartungen entspricht.

  • Verifizierter Publisher: Nutzen Sie das blaue Häkchen neben dem Namen und der Domain des Publishers als zusätzliches Vertrauenssignal. Das Häkchen zeigt an, dass der Publisher dem Marketplace den Besitz der Domain nachgewiesen hat. Es zeigt auch an, dass der Marketplace sowohl die Existenz der Domain als auch den guten Ruf des Publishers im Marketplace für mindestens sechs Monate überprüft hat.

    Verified publisher

Tipp

Wenn Sie erzwingen möchten, welche Extensions in Ihrer Organisation verwendet werden dürfen, lesen Sie, wie Sie erlaubte Extensions in VS Code konfigurieren.

Schutzmaßnahmen im Marketplace

Der Visual Studio Marketplace setzt mehrere Mechanismen ein, um Sie vor bösartigen Extensions zu schützen.

  • Malware-Scan: Der Marketplace führt einen Malware-Scan für jedes veröffentlichte Extension-Paket durch, um dessen Sicherheit zu gewährleisten. Der Scan, der mehrere Antivirus-Engines verwendet, wird für jede neue Extension und für jedes Update einer Extension durchgeführt. Erst wenn der Scan fehlerfrei ist, wird die Extension im Marketplace für die öffentliche Nutzung veröffentlicht.

  • Dynamische Erkennung: Der Marketplace führt eine dynamische Erkennung durch, indem er das Laufzeitverhalten der Extension in einer isolierten Umgebung (Clean Room VM) überprüft.

  • Verifizierte Publisher: Publisher können ihre Identität verifizieren (blaues Häkchen), indem sie den Besitz einer Domain nachweisen. Dies zeigt an, dass der Publisher dem Marketplace den Besitz der Domain nachgewiesen hat. Es zeigt auch an, dass der Marketplace sowohl die Existenz der Domain als auch den guten Ruf des Publishers im Marketplace für mindestens sechs Monate überprüft hat.

  • Überwachung ungewöhnlicher Nutzung: Der Marketplace überwacht die Download- und Nutzungsmuster von Extensions, um ungewöhnliches Verhalten zu erkennen.

  • Name Squatting: Der Marketplace verhindert, dass Extension-Autoren die Namen offizieller Publisher wie Microsoft oder RedHat und beliebter Extensions wie GitHub Copilot stehlen.

  • Blockierungsliste: Wenn eine bösartige Extension gemeldet und verifiziert wurde oder eine Schwachstelle in einer Extension-Abhängigkeit gefunden wurde, wird die Extension aus dem Marketplace entfernt und zu einer Blockierungsliste hinzugefügt. Wenn die Extension installiert wurde, wird sie von VS Code automatisch deinstalliert.

  • Überprüfung der Extension-Signatur: Der Visual Studio Marketplace signiert alle Extensions bei der Veröffentlichung. VS Code überprüft diese Signatur bei der Installation einer Extension, um die Integrität und die Quelle des Extension-Pakets zu überprüfen.

  • Secret-Scan: Der Marketplace scannt jede neu veröffentlichte Extension automatisch nach Geheimnissen wie API-Schlüsseln oder Anmeldeinformationen (z. B. Azure DevOps PAT-Tokens). Wenn Geheimnisse erkannt werden, wird die Veröffentlichung blockiert, um potenzielle Sicherheitsrisiken zu verhindern. Das VSCE-Tool scannt während der Paketierung .env-Dateien und blockiert die Veröffentlichung, wenn Geheimnisse gefunden werden.

Erfahren Sie mehr über diese Maßnahmen in dem Blogbeitrag Security and Trust in Visual Studio Marketplace.

Verdächtige Extensions melden

Wenn Sie eine verdächtig aussehende Extension sehen, melden Sie die Extension dem Marketplace-Team. Das Marketplace-Team liefert eine erste Antwort innerhalb eines Werktages.

So melden Sie eine Extension

  1. Öffnen Sie die Seite der Extension im Visual Studio Marketplace.

  2. Wählen Sie den Link Report a concern am Ende des Abschnitts More Info der Extension aus.

Verwandte Ressourcen

  • Erfahren Sie, wie Sie Extensions in Visual Studio Code installieren und verwalten.

  • Verwenden Sie Workspace Trust, um zu entscheiden, ob Code in einem Projektordner ohne ausdrückliche Genehmigung von VS Code und Extensions ausgeführt werden kann. Dies bietet eine zusätzliche Sicherheitsebene bei der Arbeit mit unbekanntem Code.

  • Konfigurieren Sie erlaubte Extensions in VS Code, um zu erzwingen, welche Extensions in Ihrer Organisation verwendet werden dürfen.

12/10/2025
© . This site is unofficial and not affiliated with Microsoft.