开发高质量的软件应用程序是一项艰巨的任务,因为它要求将多个组件整合在一起,创造出一个可工作的解决方案。因此,开发人员需要获取尽可能多的帮助和便利,特别是在确保应用程序安全性方面。
在这个过程中,Visual Studio Code(VS Code)作为最受欢迎的开源代码编辑器之一发挥着重要的作用。它兼容于Windows、macOS和Linux这三个主要操作系统,开发人员可以根据自己的喜好进行配置。更重要的是,可以通过安装扩展来增强其功能。
在VS Code的扩展库中,有许多扩展专注于提高软件安全性,从简单的用户界面(UI)改进到高级漏洞检测。本文重点介绍其中五个优秀的扩展,帮助开发人员保持代码的安全性和可靠性。
1 使用 1Password 保护密码和机密信息
安装链接:https://marketplace.visualstudio.com/items?itemName=1Password.op-vscode
在代码中明文存储密码和敏感信息是一个严重的安全风险,因为这可能导致敏感信息的泄露。为了最大程度地确保安全,最佳做法是将这些值存储在外部的保险库中,并使用变量在代码中引用。
然而,在编写代码时,频繁地在代码编辑器和密码保险库之间切换来创建新的机密信息或查看现有机密信息的值是非常繁琐的事情。
为了解决这个问题,1Password for VS Code 扩展,它旨在提供直接从 VS Code 编辑器访问保险库的功能。通过这个扩展,开发人员可以更加方便地在编写代码的过程中使用和管理机密信息,提高工作效率并增强代码的安全性。
为了解决这个问题,开发人员可以使用名为 1Password for VS Code 的扩展。这个扩展旨在提供直接从VS Code编辑器中访问密码保险库的功能,避免频繁在编辑器和密码保险库之间切换。
以下是 1Password 提供的关键功能概述。
首先,使用命令面板在VS Code中创建新密码。只需突出显示一个值,然后运行命令1Password: Save in 1Password。
图片
这样可以将项目标记为一个项目,自动将其存储在 1Password 中,并替换代码中的引用。
还可以通过自动机密检测功能进一步增强此功能。1Password VS Code 扩展可以检测和突出显示代码或环境配置文件中潜在的机密信息或密码值。
图片
VS Code 的 CodeLens 功能可以在代码编辑器内显示代码元素之间的关系。它会在突出显示的选项上方显示Save in 1Password选项。如上图所示,此选项可以快速访问Save in 1Password命令。
还可以使用命令1Password: Get from 1Password检索保险库中的现有项目,并使用命令1Password: Generate password创建新项目。同样,这些功能可以减少开发人员在处理机密值时的麻烦,因为开发人员无需离开代码编辑器并打断工作流程。
最后,1Password VS Code 扩展可以检查和预览保险库中存储的与代码中引用相关的机密信息。将光标悬停在机密信息上时,可以显示其当前值,但只限于非敏感机密信息。为了确保敏感值的安全性,无法预览诸如密码之类的敏感信息。
2 使用Decompiler反编译可执行文件
安装链接:https://marketplace.visualstudio.com/items?itemName=tintinweb.vscode-decompiler
有时候,反编译器被用来将编译代码反向转换为其源代码,以便开发人员进行检查。反编译是安全领域中的一项重要工具,使安全专家能够评估软件的安全性,甚至了解恶意软件的行为。为此,通常需要定制的或不同类型的软件,具体取决于可执行文件的类型。
Decompiler是个将反编译功能带入VS Code的扩展。开发人员可以通过在文件上右键单击并选择Decompile来在VS Code中反编译二进制可执行文件,例如Windows PE、Linux ELF、IOS、JAR文件和Android APK。
图片
反编译后的文件将在名为“Decompiler”的文件夹中提供。对于JAR文件,这将打开JAR文件并显示其中包含的文件和文件夹,从而提供对原始Java文件的访问,如下图所示。
图片
反编译可以潜在地揭示代码中的安全漏洞,例如缓冲区溢出或竞争条件。发现这些漏洞有助于开发人员确定软件是否安全,并采取措施在发布软件之前修复。
还可以使用反编译来了解第三方代码(如库和API)的行为,这些代码通常以编译形式分发。对这些组件进行反编译有助于评估它们是否适合开发项目,并识别任何安全漏洞。
3 使用Cloak隐藏敏感值
安装链接:https://marketplace.visualstudio.com/items?itemName=johnpapa.vscode-cloak
在包含机密信息和密码的环境配置文件中工作的开发人员可能希望将这些值隐藏起来,防止他人看到。但是,在协作环境或外部位置(例如咖啡馆)工作时,这很困难,因为任何人都可以看到您的屏幕。通过不停地看肩膀或不打开文件来保护这些值是繁琐的,并且影响工作效率。
下面是一个包含API密钥和密码的.env文件示例。这些变量的内容可以被任何能看到屏幕的人读取。
图片
为了解决这个问题,开发人员可以使用VS Code扩展 Cloak 。Cloak旨在在打开环境配置文件时隐藏屏幕上显示的机密值。要激活 Cloak ,使用VS Code的命令面板运行Cloak: Hide Secrets命令,在屏幕上将值替换为空白。
图片
该扩展不会修改文件,只是掩盖机密值的显示,以避免显示出来。Cloak可以防止不相关的人在外部环境中查看机密信息和密码,使开发人员能够继续工作并保持应用程序的安全性。
4 ESLint扩展与安全最佳实践
安装链接:https://marketplace.visualstudio.com/items?itemName=dbaeumer.vscode-eslint
在保护JavaScript项目的过程中,大多数扩展只能检测安全标志,无法提供更多功能。然而,开发人员通常需要能够集成到软件交付流程中以自动化安全检查的工具。
ESLint是开源的代码检查工具,用于在VS Code中编写JavaScript代码。由于JavaScript具有动态和弱类型的特性,开发人员很容易犯一些错误。ESLint通过对代码进行分析,确保其在语法上是正确的,并符合最佳实践和标准。它能够凸显代码中的语法错误,帮助开发人员快速发现和修复问题。此外,ESLint还能够帮助检测错误和潜在的代码漏洞,提高代码的质量和完整性水平。
ESLint是执行代码规范的有效方式,尤其适用于团队项目。使用这个扩展,每个团队成员都可以遵循相同的自动化公共样式和标准。
以下面的代码片段为例:
图片
在这个例子中,变量"greeting"使用了双引号,而secondGreeting使用了单引号。此外,注意到一些行以分号结尾,而其他行没有。尽管存在这些细微的差异,这段代码在语法上是正确的,可以正常运行。
然而,在共享项目中工作时,保持一致的规范对所有团队成员来说都很重要。可以使用ESLint来强制执行这一点,通过定义规则或使用ESLint软件包的默认代码检查设置。还可以选择自定义这些设置。
图片
ESLint还有自己的一套插件,例如安全插件,可以检测到不良的安全实践,包括使用不安全的正则表达式或eval函数。可以在VS Code中使用这个插件,在开发过程中检查代码,确保应用程序在运行构建流程之前是安全的,并解决问题。
5 使用Snyk扫描代码和第三方包
安装链接:https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner
检测和修复代码中的漏洞对于构建安全的软件系统至关重要。开发人员必须在恶意用户利用这些漏洞之前迅速解决这些问题。然而,经常在代码编辑器和漏洞扫描器之间切换会很麻烦且耗时。
Snyk VS Code扩展通过直接在VS Code编辑器中提供漏洞扫描和修复功能来缓解这个问题。这个扩展可以在以下代码中扫描以下类型的问题:
- 开源安全 - 项目中使用的开源依赖项中的安全漏洞。
- 代码安全 - 代码中的安全漏洞。
- 代码质量 - 代码的质量。
- 基础设施即代码(IAC)安全 - IAC模板文件(如Kubernetes和Terraform)中的配置问题。
当打开一个项目文件夹时,Snyk代码分析会自动运行。开发人员还可以通过在命令面板中运行"Snyk: Rescan"来轻松执行手动扫描。
图片
Snyk扩展还提供了漏洞检测功能,可以在开发人员编写代码时突出显示潜在的漏洞。它描述了问题及其严重级别,并提供一些预防的最佳实践。
图片
此扩展还提供了对代码执行的各种扫描结果的概览:
图片
通过实时漏洞检测和详细的修复步骤,Snyk VS Code 扩展可以帮助开发人员在不中断工作流程的情况下优先处理安全问题。
总结
优秀的开发人员致力于编写安全、清晰和易于维护的代码。上文的五个扩展可以帮助开发人员实现这一目标:
- 1Password:安全地保存密码,避免将其存储在代码中。
- 反编译器:评估可执行文件的源代码,确保其中没有恶意代码。
- Cloak:隐藏敏感值,防止其在屏幕上显示。
- Snyk VS Code扩展:快速准确地扫描代码中的漏洞。
- ESLint:帮助编写符合语法和最佳实践的代码。
在安装这些扩展之前,研究扩展和背后的公司也是重要的。确保第三方可信度,因为糟糕的扩展可能危及应用程序的秘密和密码。
虽然每个项目的需求不同,但这些扩展都有独特的优势,可以提高代码的安全性和开发便利性。
尝试使用这些扩展,体验它们如何提升开发体验和代码安全性吧。