Material Theme Dihapus dari Marketplace VS Code

 (web.archive.org)
1 poin oleh GN⁺ 2025-02-27 | 1 komentar | Bagikan ke WhatsApp

Bacaan terkait

1 komentar

 
GN⁺ 2025-02-27
Komentar Hacker News

  • Isidor dari tim VS Code melaporkan bahwa seorang anggota komunitas menemukan indikasi niat jahat melalui analisis keamanan terhadap ekstensi tersebut

    • Peneliti keamanan Microsoft memverifikasi hal ini dan menemukan kode mencurigakan tambahan
    • Penerbit terkait diblokir dari VS Marketplace, semua ekstensi dihapus, dan juga dicopot dari instance VS Code
    • Ini tidak terkait masalah hak cipta atau lisensi, melainkan tindakan terhadap niat jahat
    • VS Marketplace terus berinvestasi pada keamanan, dan informasi tentang keandalan eksekusi ekstensi dapat dilihat di dokumentasi terkait

  • Ada seseorang yang membuat fork ekstensi bernama "Material Theme (But I Won't Sue You)"

    • Pemelihara aslinya mengalihkan source menjadi offline dan mengancam akan menuntut orang yang meng-host versi alternatif
    • Mereka mengambil langkah-langkah berikut untuk fork tersebut
      • Mengizinkan tim VS Code melakukan audit saat ini, agar bisa segera dihapus jika ditemukan sesuatu yang berbahaya
      • Sudah mengaudit codebase secara menyeluruh dan tidak menemukan hal berbahaya
      • Menghapus semua kode yang terkait dengan changelog, analitik, Open Collective, dan rendering HTML
      • Loader HTML + sanity sempat sedikit mengkhawatirkan, tetapi sudah dihapus sepenuhnya
      • Melalui dua PR, menghapus sebagian besar dependensi dan lebih dari 7.000 baris kode

  • Di Reddit, ada orang yang 7 bulan lalu menemukan perubahan mencurigakan pada ekstensi ini

    • Obfuskasi dalam open source adalah tanda peringatan yang serius
    • Microsoft perlu meninjau ulang model keamanan untuk ekstensi VS Code
    • Kemungkinan ekstensi berbahaya akan terus bermunculan

  • Ada yang menganggap pemelihara ekstensi ini sedang tidak stabil secara mental

    • Kurang cakap dalam teknologi sehingga menjauhkan orang-orang baik
    • Meski tidak menggunakan perangkat lunaknya, mereka berharap orang tersebut bisa melewati episode ini

  • Program alternatif bernama "Material Theme (But I Won't Sue You)" telah diunggah

  • Seseorang bertanya apakah ada yang bisa menemukan bagian berbahaya di repositori

    • Dilaporkan telah ditemukan kode yang diobfuskasi

  • Masalah terkait Material Theme juga pernah terjadi sebelumnya di IntelliJ

    • Saat itu bukan sekadar masalah warna saja

  • Menarik untuk belajar tentang perbedaan berbagai orang melalui internet

    • Terlihat contoh ekstrem tentang pemasangan banyak dependensi
    • Menjadi lebih sensitif terhadap kerentanan keamanan sejak insiden log4j
    • Agar perusahaan dapat berkembang dengan sukses, semuanya harus berjalan tanpa insiden keamanan
    • Terlihat ada orang yang mempertaruhkan perusahaan dan reputasi mereka demi warna
    • Pada akhirnya, yang penting adalah menjalani hidup dengan cara masing-masing

  • Ada yang merasa aneh bahwa source diubah menjadi tertutup setelah menerima kontribusi dari orang lain

    • Bukan ahli hak cipta, tetapi rasanya itu tidak benar