拡張を使ったサプライチェーン攻撃が怖い
普通にインストールして使うツールだと管理者権限が要るし、作業者のセキュリティ意識もしっかりしてるから、変なもの勝手にインストールしたりしない
でもなぜか拡張だと許可を得ずにインストールしてしまう人が多い
昇格プロンプトも出ないし、たかが拡張だから、と気が緩むのかもしれない
マイクロソフトははやく拡張のセキュリティ担保する仕組みを提供してくれ
個々の拡張をサンドボックスで動かして、APIの認可厳密に行うとか