Najlepsze rozwiązania dotyczące zabezpieczeń w pakietach VSPackage
Aby zainstalować zestaw Visual Studio SDK na komputerze, należy uruchomić w kontekście z poświadczeniami administracyjnymi. Podstawową jednostką zabezpieczeń i wdrażania aplikacji programu Visual Studio jest pakiet VSPackage. Pakiet VSPackage musi być zarejestrowany przy użyciu programu Visual Studio, który również wymaga poświadczeń administracyjnych.
Administracja istratory mają pełne uprawnienia do zapisywania w rejestrze i systemie plików oraz uruchamiania dowolnego kodu. Musisz mieć te uprawnienia do tworzenia, wdrażania lub instalowania pakietu VSPackage.
Po zainstalowaniu pakiet VSPackage jest w pełni zaufany. Ze względu na ten wysoki poziom uprawnień skojarzonych z pakietem VSPackage można przypadkowo zainstalować pakiet VSPackage, który ma złośliwe intencje.
Użytkownicy powinni upewnić się, że instalują pakiety VSPackage tylko z zaufanych źródeł. Firmy opracowujące pakiety VSPackage powinny zdecydowanie nazwać i podpisać je, aby zapewnić użytkownikowi, że nie będzie można manipulować. Firmy opracowujące pakiety VSPackage powinny zbadać ich zależności zewnętrzne, takie jak usługi internetowe i instalacja zdalna, aby ocenić i rozwiązać wszelkie problemy z zabezpieczeniami.
Aby uzyskać więcej informacji, zobacz Secure coding guidelines for the .NET Framework (Wskazówki dotyczące bezpiecznego kodowania dla programu .NET Framework).