開發(fā)高質(zhì)量的軟件應(yīng)用程序是一項(xiàng)艱巨的任務(wù)，因?yàn)樗髮⒍鄠€組件整合在一起，創(chuàng)造出一個可工作的解決方案。因此，開發(fā)人員需要獲取盡可能多的幫助和便利，特別是在確保應(yīng)用程序安全性方面。

在這個過程中，Visual Studio Code（VS Code）作為最受歡迎的開源代碼編輯器之一發(fā)揮著重要的作用。它兼容于Windows、macOS和Linux這三個主要操作系統(tǒng)，開發(fā)人員可以根據(jù)自己的喜好進(jìn)行配置。更重要的是，可以通過安裝擴(kuò)展來增強(qiáng)其功能。

在VS Code的擴(kuò)展庫中，有許多擴(kuò)展專注于提高軟件安全性，從簡單的用戶界面（UI）改進(jìn)到高級漏洞檢測。本文重點(diǎn)介紹其中五個優(yōu)秀的擴(kuò)展，幫助開發(fā)人員保持代碼的安全性和可靠性。

1 使用 1Password 保護(hù)密碼和機(jī)密信息

安裝鏈接：https://marketplace.visualstudio.com/items?itemName=1Password.op-vscode

在代碼中明文存儲密碼和敏感信息是一個嚴(yán)重的安全風(fēng)險，因?yàn)檫@可能導(dǎo)致敏感信息的泄露。為了最大程度地確保安全，最佳做法是將這些值存儲在外部的保險庫中，并使用變量在代碼中引用。

然而，在編寫代碼時，頻繁地在代碼編輯器和密碼保險庫之間切換來創(chuàng)建新的機(jī)密信息或查看現(xiàn)有機(jī)密信息的值是非常繁瑣的事情。

為了解決這個問題，1Password for VS Code 擴(kuò)展，它旨在提供直接從 VS Code 編輯器訪問保險庫的功能。通過這個擴(kuò)展，開發(fā)人員可以更加方便地在編寫代碼的過程中使用和管理機(jī)密信息，提高工作效率并增強(qiáng)代碼的安全性。

為了解決這個問題，開發(fā)人員可以使用名為 1Password for VS Code 的擴(kuò)展。這個擴(kuò)展旨在提供直接從VS Code編輯器中訪問密碼保險庫的功能，避免頻繁在編輯器和密碼保險庫之間切換。

以下是 1Password 提供的關(guān)鍵功能概述。

首先，使用命令面板在VS Code中創(chuàng)建新密碼。只需突出顯示一個值，然后運(yùn)行命令1Password: Save in 1Password。

圖片

這樣可以將項(xiàng)目標(biāo)記為一個項(xiàng)目，自動將其存儲在 1Password 中，并替換代碼中的引用。

還可以通過自動機(jī)密檢測功能進(jìn)一步增強(qiáng)此功能。1Password VS Code 擴(kuò)展可以檢測和突出顯示代碼或環(huán)境配置文件中潛在的機(jī)密信息或密碼值。

圖片

VS Code 的 CodeLens 功能可以在代碼編輯器內(nèi)顯示代碼元素之間的關(guān)系。它會在突出顯示的選項(xiàng)上方顯示Save in 1Password選項(xiàng)。如上圖所示，此選項(xiàng)可以快速訪問Save in 1Password命令。

還可以使用命令1Password: Get from 1Password檢索保險庫中的現(xiàn)有項(xiàng)目，并使用命令1Password: Generate password創(chuàng)建新項(xiàng)目。同樣，這些功能可以減少開發(fā)人員在處理機(jī)密值時的麻煩，因?yàn)殚_發(fā)人員無需離開代碼編輯器并打斷工作流程。

最后，1Password VS Code 擴(kuò)展可以檢查和預(yù)覽保險庫中存儲的與代碼中引用相關(guān)的機(jī)密信息。將光標(biāo)懸停在機(jī)密信息上時，可以顯示其當(dāng)前值，但只限于非敏感機(jī)密信息。為了確保敏感值的安全性，無法預(yù)覽諸如密碼之類的敏感信息。

2 使用Decompiler反編譯可執(zhí)行文件

安裝鏈接：https://marketplace.visualstudio.com/items?itemName=tintinweb.vscode-decompiler

有時候，反編譯器被用來將編譯代碼反向轉(zhuǎn)換為其源代碼，以便開發(fā)人員進(jìn)行檢查。反編譯是安全領(lǐng)域中的一項(xiàng)重要工具，使安全專家能夠評估軟件的安全性，甚至了解惡意軟件的行為。為此，通常需要定制的或不同類型的軟件，具體取決于可執(zhí)行文件的類型。

Decompiler是個將反編譯功能帶入VS Code的擴(kuò)展。開發(fā)人員可以通過在文件上右鍵單擊并選擇Decompile來在VS Code中反編譯二進(jìn)制可執(zhí)行文件，例如Windows PE、Linux ELF、IOS、JAR文件和Android APK。

圖片

反編譯后的文件將在名為“Decompiler”的文件夾中提供。對于JAR文件，這將打開JAR文件并顯示其中包含的文件和文件夾，從而提供對原始Java文件的訪問，如下圖所示。

圖片

反編譯可以潛在地揭示代碼中的安全漏洞，例如緩沖區(qū)溢出或競爭條件。發(fā)現(xiàn)這些漏洞有助于開發(fā)人員確定軟件是否安全，并采取措施在發(fā)布軟件之前修復(fù)。

還可以使用反編譯來了解第三方代碼（如庫和API）的行為，這些代碼通常以編譯形式分發(fā)。對這些組件進(jìn)行反編譯有助于評估它們是否適合開發(fā)項(xiàng)目，并識別任何安全漏洞。

3 使用Cloak隱藏敏感值

安裝鏈接：https://marketplace.visualstudio.com/items?itemName=johnpapa.vscode-cloak

在包含機(jī)密信息和密碼的環(huán)境配置文件中工作的開發(fā)人員可能希望將這些值隱藏起來，防止他人看到。但是，在協(xié)作環(huán)境或外部位置（例如咖啡館）工作時，這很困難，因?yàn)槿魏稳硕伎梢钥吹侥钠聊弧Ｍㄟ^不停地看肩膀或不打開文件來保護(hù)這些值是繁瑣的，并且影響工作效率。

下面是一個包含API密鑰和密碼的.env文件示例。這些變量的內(nèi)容可以被任何能看到屏幕的人讀取。

圖片

為了解決這個問題，開發(fā)人員可以使用VS Code擴(kuò)展 Cloak 。Cloak旨在在打開環(huán)境配置文件時隱藏屏幕上顯示的機(jī)密值。要激活 Cloak ，使用VS Code的命令面板運(yùn)行Cloak: Hide Secrets命令，在屏幕上將值替換為空白。

圖片

該擴(kuò)展不會修改文件，只是掩蓋機(jī)密值的顯示，以避免顯示出來。Cloak可以防止不相關(guān)的人在外部環(huán)境中查看機(jī)密信息和密碼，使開發(fā)人員能夠繼續(xù)工作并保持應(yīng)用程序的安全性。

4 ESLint擴(kuò)展與安全最佳實(shí)踐

安裝鏈接：https://marketplace.visualstudio.com/items?itemName=dbaeumer.vscode-eslint

在保護(hù)JavaScript項(xiàng)目的過程中，大多數(shù)擴(kuò)展只能檢測安全標(biāo)志，無法提供更多功能。然而，開發(fā)人員通常需要能夠集成到軟件交付流程中以自動化安全檢查的工具。

ESLint是開源的代碼檢查工具，用于在VS Code中編寫JavaScript代碼。由于JavaScript具有動態(tài)和弱類型的特性，開發(fā)人員很容易犯一些錯誤。ESLint通過對代碼進(jìn)行分析，確保其在語法上是正確的，并符合最佳實(shí)踐和標(biāo)準(zhǔn)。它能夠凸顯代碼中的語法錯誤，幫助開發(fā)人員快速發(fā)現(xiàn)和修復(fù)問題。此外，ESLint還能夠幫助檢測錯誤和潛在的代碼漏洞，提高代碼的質(zhì)量和完整性水平。

ESLint是執(zhí)行代碼規(guī)范的有效方式，尤其適用于團(tuán)隊(duì)項(xiàng)目。使用這個擴(kuò)展，每個團(tuán)隊(duì)成員都可以遵循相同的自動化公共樣式和標(biāo)準(zhǔn)。

以下面的代碼片段為例：

圖片

在這個例子中，變量"greeting"使用了雙引號，而secondGreeting使用了單引號。此外，注意到一些行以分號結(jié)尾，而其他行沒有。盡管存在這些細(xì)微的差異，這段代碼在語法上是正確的，可以正常運(yùn)行。

然而，在共享項(xiàng)目中工作時，保持一致的規(guī)范對所有團(tuán)隊(duì)成員來說都很重要。可以使用ESLint來強(qiáng)制執(zhí)行這一點(diǎn)，通過定義規(guī)則或使用ESLint軟件包的默認(rèn)代碼檢查設(shè)置。還可以選擇自定義這些設(shè)置。

圖片

ESLint還有自己的一套插件，例如安全插件，可以檢測到不良的安全實(shí)踐，包括使用不安全的正則表達(dá)式或eval函數(shù)?？梢栽赩S Code中使用這個插件，在開發(fā)過程中檢查代碼，確保應(yīng)用程序在運(yùn)行構(gòu)建流程之前是安全的，并解決問題。

5 使用Snyk掃描代碼和第三方包

安裝鏈接：https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner

檢測和修復(fù)代碼中的漏洞對于構(gòu)建安全的軟件系統(tǒng)至關(guān)重要。開發(fā)人員必須在惡意用戶利用這些漏洞之前迅速解決這些問題。然而，經(jīng)常在代碼編輯器和漏洞掃描器之間切換會很麻煩且耗時。

Snyk VS Code擴(kuò)展通過直接在VS Code編輯器中提供漏洞掃描和修復(fù)功能來緩解這個問題。這個擴(kuò)展可以在以下代碼中掃描以下類型的問題：

• 開源安全 - 項(xiàng)目中使用的開源依賴項(xiàng)中的安全漏洞。
• 代碼安全 - 代碼中的安全漏洞。
• 代碼質(zhì)量 - 代碼的質(zhì)量。
• 基礎(chǔ)設(shè)施即代碼（IAC）安全 - IAC模板文件（如Kubernetes和Terraform）中的配置問題。

當(dāng)打開一個項(xiàng)目文件夾時，Snyk代碼分析會自動運(yùn)行。開發(fā)人員還可以通過在命令面板中運(yùn)行"Snyk: Rescan"來輕松執(zhí)行手動掃描。

圖片

Snyk擴(kuò)展還提供了漏洞檢測功能，可以在開發(fā)人員編寫代碼時突出顯示潛在的漏洞。它描述了問題及其嚴(yán)重級別，并提供一些預(yù)防的最佳實(shí)踐。

圖片

此擴(kuò)展還提供了對代碼執(zhí)行的各種掃描結(jié)果的概覽：

圖片

通過實(shí)時漏洞檢測和詳細(xì)的修復(fù)步驟，Snyk VS Code 擴(kuò)展可以幫助開發(fā)人員在不中斷工作流程的情況下優(yōu)先處理安全問題。

總結(jié)

優(yōu)秀的開發(fā)人員致力于編寫安全、清晰和易于維護(hù)的代碼。上文的五個擴(kuò)展可以幫助開發(fā)人員實(shí)現(xiàn)這一目標(biāo)：

• 1Password：安全地保存密碼，避免將其存儲在代碼中。
• 反編譯器：評估可執(zhí)行文件的源代碼，確保其中沒有惡意代碼。
• Cloak：隱藏敏感值，防止其在屏幕上顯示。
• Snyk VS Code擴(kuò)展：快速準(zhǔn)確地掃描代碼中的漏洞。
• ESLint：幫助編寫符合語法和最佳實(shí)踐的代碼。

在安裝這些擴(kuò)展之前，研究擴(kuò)展和背后的公司也是重要的。確保第三方可信度，因?yàn)樵愀獾臄U(kuò)展可能危及應(yīng)用程序的秘密和密碼。

雖然每個項(xiàng)目的需求不同，但這些擴(kuò)展都有獨(dú)特的優(yōu)勢，可以提高代碼的安全性和開發(fā)便利性。

嘗試使用這些擴(kuò)展，體驗(yàn)它們?nèi)绾翁嵘_發(fā)體驗(yàn)和代碼安全性吧。