ニュース
拡張機能に署名して安全に提供 ~「Visual Studio Code」のマーケットプレイスで開始
ダウンロードの途中で改竄がないことを証明
2022年12月9日 06:45
「Visual Studio Code」の拡張機能は「Visual Studio Marketplace」リポジトリで提供されているが、11月中旬からアップロードされたすべての拡張機能にリポジトリから署名が施されるようになっているとのこと。米Microsoftは12月8日(現地時間)、「Visual Studio Code」2022年11月アップデート(v1.74)のリリースに合わせて公表した。
同社によると、「Visual Studio Marketplace」の拡張機能はリポジトリ署名(repository signing)と呼ばれるプロセスで署名され、拡張機能のインストールとアップデートの際に検証されるようになる。これにより、拡張機能が「Visual Studio Marketplace」から提供された本物であり、ダウンロードの途中で改竄がないことが証明される。
拡張機能が信頼できるものであると保証するものではないが、その点に関しては検証プロセスをパスした安全な拡張機能パブリッシャーに付与されるバッジなどを手掛かりに、ユーザー自身が判断していくことになる。
なお、この検証処理は、現在プレビュー版の「Visual Studio Code Insider」でのみ実施される。安定(Stable)版での検証は今後数カ月以内に開始される見込みだ。
また、将来的にはリポジトリ署名とは別に、拡張機能の発行者による署名にも対応することのこと。