「Visual Studio Code」に「Trojan Source」攻撃への対策が導入 ～2021年10月更新

「Visual Studio Code」v1.62

　米Microsoftは11月4日（現地時間）、コードエディター「Visual Studio Code」の2021年10月アップデート（v1.62）を正式リリースした。今月のリリースは、Web版「Visual Studio Code」のパブリックプレビューが開始されたことを除けば、比較的小規模なアップデートとなっている。

　今回のリリースでは、「GitHub」に寄せられた問題指摘と改善案（イシュー）の棚卸しに注力。リポジトリ全体で4,163件のイシューが問題解決と整理のためクローズされ、新たに2,222件の新しいイシューが作成された。メインリポジトリに残る未解決の機能リクエストは2,491件、バグは1,246件。プルリクエストは194件クローズされた。イシューのクローズは昨年よりも少なくなったが、それでも多くの問題が解決され、品質が向上している。

　機能面での変更は、デザインとアクセシビリティの改善が主となっている。パラメーターヒント（関数の入力中に必要な引数などをポップアップで表示する機能）では、ポップアップの表示位置を上下選べるようになったほか、現在入力中の引数部分がハイライトされるようになった。ブラケットペアガイドのレンダリングも見直されている。

パラメーターヒントを改善

　セキュリティ面では「Trojan Source」攻撃（CVE-2021-42574）への対策が導入された。これはテキストの書かれる向き（右から左へ、左から右へ、など）を切り替えるUnicodeの「方向制御コード」の仕組みを悪用し、開発者の目では見分けのつけない脆弱性をソースコードに埋め込む手法。最新版の「Visual Studio Code」では、デフォルトで方向制御コードをレンダリングするよう設定を変更することで問題を緩和している。

「Trojan Source」攻撃（CVE-2021-42574）への対策が導入

　また、拡張機能を安全に利用できるようにするための仕組みとして、検証バッジ制度が導入された。拡張機能ストア「Visual Studio Marketplace」では、検証プロセスをパスした安全な拡張機能のパブリッシャーに専用のバッジが表示される。

検証プロセスをパスした安全な拡張機能のパブリッシャーに専用のバッジが表示

　「Visual Studio Code」は、Windows/macOS/Linuxで動作する高機能なコードエディター。JavaScript、TypeScript、Node.jsを組み込みでサポートし、強力なコーディング支援・デバッグ・統合ターミナル機能を提供するほか、言語サーバー対応の拡張機能を追加することで、幅広いプログラミング言語に対応できるのが特徴。現在、本ソフトの公式サイトから無償でダウンロードできる。また、Windows 11ならば「ストア」アプリ（Microsoft Store）からインストールすることも可能。すでに利用している場合は、アプリの自動更新機能を用いてアップデートできる。