Visual Studio Code(VScode)向けに公開されている拡張機能のコードをチェックし、セキュリティ上の問題がないかをチェックする無料診断ツール「VSCan」が公開されています。

VSCan | VSCode Extension Security Analyzer

https://vscan.dev/

VSCanに拡張機能の名前あるいはIDを入力すると診断結果を出してくれます。



VSCanは、公開されているコードなどをチェックし、マルウェアやスパイウェアがないか、悪用可能な脆弱(ぜいじゃく)性はないか、依存関係から継承されたサプライチェーンのリスクはないか、過剰なアクセスを要求する権限の乱用はないか、不適切なデータ収集または送信をするプライバシーに関する懸念はないかを確かめます。

これにより、デバイスの重要な権限を利用して動作することもあるVSCodeの拡張機能の安全性について、拡張機能を利用する前に確かめることができます。

コード分析では、問題があると思われる部分にフラグが付けられます。これを見て人間はコードが意図するところをチェックすることができます。



VSCanのスキャンは完璧ではなく、開発者の意図や具体的な用途を完全に理解せず、過ったフラグを付けてしまうこともあります。VSCanの開発元は「あくまでコードレビューのための出発点として使ってほしい」としています。