開發高質量的軟件應用程序是一項艱巨的任務,因為它要求將多個組件整合在一起,創造出一個可工作的解決方案。因此,開發人員需要獲取盡可能多的幫助和便利,特別是在確保應用程序安全性方面。
在這個過程中,Visual Studio Code(VS Code)作為最受歡迎的開源代碼編輯器之一發揮著重要的作用。它兼容于windows、macOS和linux這三個主要操作系統,開發人員可以根據自己的喜好進行配置。更重要的是,可以通過安裝擴展來增強其功能。
在VS Code的擴展庫中,有許多擴展專注于提高軟件安全性,從簡單的用戶界面(UI)改進到高級漏洞檢測。本文重點介紹其中五個優秀的擴展,幫助開發人員保持代碼的安全性和可靠性。
1 使用 1Password 保護密碼和機密信息
安裝鏈接:https://marketplace.visualstudio.com/items?itemName=1Password.op-vscode
在代碼中明文存儲密碼和敏感信息是一個嚴重的安全風險,因為這可能導致敏感信息的泄露。為了最大程度地確保安全,最佳做法是將這些值存儲在外部的保險庫中,并使用變量在代碼中引用。
然而,在編寫代碼時,頻繁地在代碼編輯器和密碼保險庫之間切換來創建新的機密信息或查看現有機密信息的值是非常繁瑣的事情。
為了解決這個問題,1Password for VS Code 擴展,它旨在提供直接從 VS Code 編輯器訪問保險庫的功能。通過這個擴展,開發人員可以更加方便地在編寫代碼的過程中使用和管理機密信息,提高工作效率并增強代碼的安全性。
為了解決這個問題,開發人員可以使用名為 1Password for VS Code 的擴展。這個擴展旨在提供直接從VS Code編輯器中訪問密碼保險庫的功能,避免頻繁在編輯器和密碼保險庫之間切換。
以下是 1Password 提供的關鍵功能概述。
首先,使用命令面板在VS Code中創建新密碼。只需突出顯示一個值,然后運行命令1Password: Save in 1Password。
圖片
這樣可以將項目標記為一個項目,自動將其存儲在 1Password 中,并替換代碼中的引用。
還可以通過自動機密檢測功能進一步增強此功能。1Password VS Code 擴展可以檢測和突出顯示代碼或環境配置文件中潛在的機密信息或密碼值。
圖片
VS Code 的 CodeLens 功能可以在代碼編輯器內顯示代碼元素之間的關系。它會在突出顯示的選項上方顯示Save in 1Password選項。如上圖所示,此選項可以快速訪問Save in 1Password命令。
還可以使用命令1Password: Get from 1Password檢索保險庫中的現有項目,并使用命令1Password: Generate password創建新項目。同樣,這些功能可以減少開發人員在處理機密值時的麻煩,因為開發人員無需離開代碼編輯器并打斷工作流程。
最后,1Password VS Code 擴展可以檢查和預覽保險庫中存儲的與代碼中引用相關的機密信息。將光標懸停在機密信息上時,可以顯示其當前值,但只限于非敏感機密信息。為了確保敏感值的安全性,無法預覽諸如密碼之類的敏感信息。
2 使用Decompiler反編譯可執行文件
安裝鏈接:https://marketplace.visualstudio.com/items?itemName=tintinweb.vscode-decompiler
有時候,反編譯器被用來將編譯代碼反向轉換為其源代碼,以便開發人員進行檢查。反編譯是安全領域中的一項重要工具,使安全專家能夠評估軟件的安全性,甚至了解惡意軟件的行為。為此,通常需要定制的或不同類型的軟件,具體取決于可執行文件的類型。
Decompiler是個將反編譯功能帶入VS Code的擴展。開發人員可以通過在文件上右鍵單擊并選擇Decompile來在VS Code中反編譯二進制可執行文件,例如Windows PE、Linux ELF、IOS、JAR文件和Android APK。
圖片
反編譯后的文件將在名為“Decompiler”的文件夾中提供。對于JAR文件,這將打開JAR文件并顯示其中包含的文件和文件夾,從而提供對原始JAVA文件的訪問,如下圖所示。
圖片
反編譯可以潛在地揭示代碼中的安全漏洞,例如緩沖區溢出或競爭條件。發現這些漏洞有助于開發人員確定軟件是否安全,并采取措施在發布軟件之前修復。
還可以使用反編譯來了解第三方代碼(如庫和API)的行為,這些代碼通常以編譯形式分發。對這些組件進行反編譯有助于評估它們是否適合開發項目,并識別任何安全漏洞。
3 使用Cloak隱藏敏感值
安裝鏈接:https://marketplace.visualstudio.com/items?itemName=johnpapa.vscode-cloak
在包含機密信息和密碼的環境配置文件中工作的開發人員可能希望將這些值隱藏起來,防止他人看到。但是,在協作環境或外部位置(例如咖啡館)工作時,這很困難,因為任何人都可以看到您的屏幕。通過不停地看肩膀或不打開文件來保護這些值是繁瑣的,并且影響工作效率。
下面是一個包含API密鑰和密碼的.env文件示例。這些變量的內容可以被任何能看到屏幕的人讀取。
圖片
為了解決這個問題,開發人員可以使用VS Code擴展 Cloak 。Cloak旨在在打開環境配置文件時隱藏屏幕上顯示的機密值。要激活 Cloak ,使用VS Code的命令面板運行Cloak: Hide Secrets命令,在屏幕上將值替換為空白。
圖片
該擴展不會修改文件,只是掩蓋機密值的顯示,以避免顯示出來。Cloak可以防止不相關的人在外部環境中查看機密信息和密碼,使開發人員能夠繼續工作并保持應用程序的安全性。
4 ESLint擴展與安全最佳實踐
安裝鏈接:https://marketplace.visualstudio.com/items?itemName=dbaeumer.vscode-eslint
在保護JavaScript項目的過程中,大多數擴展只能檢測安全標志,無法提供更多功能。然而,開發人員通常需要能夠集成到軟件交付流程中以自動化安全檢查的工具。
ESLint是開源的代碼檢查工具,用于在VS Code中編寫JavaScript代碼。由于JavaScript具有動態和弱類型的特性,開發人員很容易犯一些錯誤。ESLint通過對代碼進行分析,確保其在語法上是正確的,并符合最佳實踐和標準。它能夠凸顯代碼中的語法錯誤,幫助開發人員快速發現和修復問題。此外,ESLint還能夠幫助檢測錯誤和潛在的代碼漏洞,提高代碼的質量和完整性水平。
ESLint是執行代碼規范的有效方式,尤其適用于團隊項目。使用這個擴展,每個團隊成員都可以遵循相同的自動化公共樣式和標準。
以下面的代碼片段為例:
圖片
在這個例子中,變量"greeting"使用了雙引號,而secondGreeting使用了單引號。此外,注意到一些行以分號結尾,而其他行沒有。盡管存在這些細微的差異,這段代碼在語法上是正確的,可以正常運行。
然而,在共享項目中工作時,保持一致的規范對所有團隊成員來說都很重要。可以使用ESLint來強制執行這一點,通過定義規則或使用ESLint軟件包的默認代碼檢查設置。還可以選擇自定義這些設置。
圖片
ESLint還有自己的一套插件,例如安全插件,可以檢測到不良的安全實踐,包括使用不安全的正則表達式或eval函數。可以在VS Code中使用這個插件,在開發過程中檢查代碼,確保應用程序在運行構建流程之前是安全的,并解決問題。
5 使用Snyk掃描代碼和第三方包
安裝鏈接:https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner
檢測和修復代碼中的漏洞對于構建安全的軟件系統至關重要。開發人員必須在惡意用戶利用這些漏洞之前迅速解決這些問題。然而,經常在代碼編輯器和漏洞掃描器之間切換會很麻煩且耗時。
Snyk VS Code擴展通過直接在VS Code編輯器中提供漏洞掃描和修復功能來緩解這個問題。這個擴展可以在以下代碼中掃描以下類型的問題:
- 開源安全 - 項目中使用的開源依賴項中的安全漏洞。
- 代碼安全 - 代碼中的安全漏洞。
- 代碼質量 - 代碼的質量。
- 基礎設施即代碼(IAC)安全 - IAC模板文件(如Kube.NETes和Terraform)中的配置問題。
當打開一個項目文件夾時,Snyk代碼分析會自動運行。開發人員還可以通過在命令面板中運行"Snyk: Rescan"來輕松執行手動掃描。
圖片
Snyk擴展還提供了漏洞檢測功能,可以在開發人員編寫代碼時突出顯示潛在的漏洞。它描述了問題及其嚴重級別,并提供一些預防的最佳實踐。
圖片
此擴展還提供了對代碼執行的各種掃描結果的概覽:
圖片
通過實時漏洞檢測和詳細的修復步驟,Snyk VS Code 擴展可以幫助開發人員在不中斷工作流程的情況下優先處理安全問題。
總結
優秀的開發人員致力于編寫安全、清晰和易于維護的代碼。上文的五個擴展可以幫助開發人員實現這一目標:
- 1Password:安全地保存密碼,避免將其存儲在代碼中。
- 反編譯器:評估可執行文件的源代碼,確保其中沒有惡意代碼。
- Cloak:隱藏敏感值,防止其在屏幕上顯示。
- Snyk VS Code擴展:快速準確地掃描代碼中的漏洞。
- ESLint:幫助編寫符合語法和最佳實踐的代碼。
在安裝這些擴展之前,研究擴展和背后的公司也是重要的。確保第三方可信度,因為糟糕的擴展可能危及應用程序的秘密和密碼。
雖然每個項目的需求不同,但這些擴展都有獨特的優勢,可以提高代碼的安全性和開發便利性。
嘗試使用這些擴展,體驗它們如何提升開發體驗和代碼安全性吧。
