導入
皆さんは、GitHubで見つけたオープンソースプロジェクトをクローンし、VS Codeで開いた瞬間に「このフォルダー内のファイルを信頼しますか?」というダイアログが表示された経験はありませんか?これはVS Codeのワークスペース・トラスト(Workspace Trust)というセキュリティ機能です。なぜこれが必要なのか、それは悪意のあるリポジトリに含まれる「隠れたスクリプト」が、エディタを開いただけで自動実行され、PC内の機密情報が盗まれるリスクを未然に防ぐためです。本記事では、この機能を正しく理解し、安全に開発を進めるためのTipsを解説します。
基礎知識
ワークスペース・トラストとは、エディタが読み込んだプロジェクトを「信頼済み」か「制限付き(Restricted Mode)」のどちらで扱うかを制御する仕組みです。
制限付きモードで開くと、以下の機能が無効化されます。
- 拡張機能によるコードの自動実行(デバッガーの起動など)
- タスクの自動実行
- ターミナルでの自動的なコマンド実行
これにより、未知のリポジトリを「まずは中身を確認するだけ」という用途で安全に閲覧できます。
実装/解決策
ワークスペース・トラストを効果的に運用するには、以下の設定とワークフローを推奨します。
1. 信頼の判定基準を持つ: 基本的に「自分で作成したコード」や「所属する組織の公式リポジトリ」以外は、まず制限付きモードで開き、ソースコードの中身を確認してから信頼するようにしましょう。
2. 設定のカスタマイズ: VS Codeの「設定(Settings)」から「security.workspace.trust」を検索すると、挙動を微調整できます。例えば、特定のディレクトリ以下は常に信頼するといった設定も可能です。
サンプルプログラム
ワークスペース・トラストの挙動を検証するための、危険な動作を模倣したタスク設定例です。この設定ファイル(.vscode/tasks.json)は、信頼されていない環境では自動実行されません。
{
“version”: “2.0.0”,
“tasks”: [
{
“label”: “警告: 悪意のあるスクリプトの実行シミュレーション”,
“type”: “shell”,
“command”: “echo ‘このコマンドは信頼されていないワークスペースでは自動実行されません!'”,
“runOptions”: {
// ワークスペースを開いた瞬間に実行される設定
“runOn”: “folderOpen”
},
“presentation”: {
“reveal”: “always”
}
}
]
}
応用・注意点
現場で陥りやすいバグやトラブルとして、「拡張機能が動かない」という問い合わせがよくあります。これは多くの場合、ワークスペースが「制限付きモード」になっていることが原因です。
注意点と回避策:
- 拡張機能の挙動を確認する: 特定の拡張機能が「制限付きモード」でも動作するように設計されているか確認しましょう。VS Codeの拡張機能ビューから、各拡張機能がワークスペース・トラストに対応しているか確認できます。
- 信頼の解除: うっかり信頼してしまったリポジトリは、コマンドパレット(Ctrl+Shift+P)から「Workspaces: Manage Workspace Trust」と入力することで、いつでも信頼を解除できます。
セキュリティ対策は「不便さ」を伴うこともありますが、ワークスペース・トラストは最小限の工数で最大のリスクを回避できる重要な防御策です。ぜひ日々の運用に取り入れてください。
コメント