Dev Machine Guard 现已扫描 IDE 扩展程序,覆盖 VS Code、Cursor、Windsurf、JetBrains IDE、Android Studio、Eclipse 和 Xcode,平台支持 macOS、Windows 和 Linux。获取统一的扩展程序清单、扩展程序风险评分、 typosquat 检测以及整个开发者设备群中已入侵扩展程序的可视性。
Dev Machine Guard 现已扫描 8 个 IDE 产品线的扩展程序:Visual Studio Code、Cursor、Windsurf、Antigravity、JetBrains IDE、Android Studio、基于 Eclipse 的 IDE 和 Xcode。覆盖范围在 macOS、Windows 和 Linux 上完全一致。
对于使用混合开发者环境的企业组织,这意味着跨每个 IDE——包括那些历史上大多数扩展程序治理工具一直忽略的 IDE——获取单一清单和单一风险视图。
为什么 IDE 扩展程序覆盖范围很重要
现代开发者机器运行着数十个 IDE 扩展程序,每个扩展程序都有权访问源代码、环境变量和开发者凭据。大多数扩展程序在安装时就被授予了广泛权限,大多数会在后台静默自动更新,极少有人在初次安装后进行检查。
长期以来,IDE 扩展程序相关的安全工具故事仅止步于 Visual Studio Code。在 VS Code 是唯一有意义的目标时,这种做法是可行的。但现在已不再适用。
如今,您的开发者正在使用:
- VS Code 及其分支版本如 Cursor、Windsurf 和 Antigravity,每个都有各自的扩展程序生态系统
- JetBrains IDE 用于后端、移动端和数据工作,采用独立的插件模型
- Xcode 用于 iOS 和 macOS 开发,拥有独立的扩展程序和源代码编辑器插件面
- Android Studio 用于 Android 开发,构建在 JetBrains 平台上但拥有独立的插件集
- 基于 Eclipse 的 IDE 用于企业 Java、嵌入式和科学计算环境
上述每一种都是真实的入口点。一个恶意或已入侵的扩展程序只需要进入其中任何一个,就能接触到拥有发布令牌、SSH 密钥和生产环境访问权限的开发者。
推动这项工作的真实事件
IDE 扩展程序供应链攻击已不再是假设。
- 2025 年 10 月,安全研究人员披露,100 多个 VS Code 扩展程序的发布者泄露了访问令牌,使超过 15 万名开发者面临潜在的账号接管和通过自动更新进行的静默恶意更新风险。
- 2025 年 8 月,s1ngularity Nx 入侵事件武器化了面向开发者的 AI CLI 工具,直接从开发者机器上窃取 GitHub 和 npm 令牌、SSH 密钥以及 AI 凭据。
- Shai-Hulud npm 蠕虫活动入侵了 500 多个包,并获得 CISA 通报,其中几个受影响的包作为广泛安装的扩展程序的传递依赖存在。
在每一个这些事件中,受影响的安全团队最难回答的后续问题都是相同的:
我们组织中哪些开发者机器实际安装了这个扩展程序,在哪个 IDE 中,版本是什么? 通过扩展 IDE 覆盖范围,Dev Machine Guard 现在可以跨整个开发者设备群回答这个问题,无论每个开发者偏好使用哪个编辑器。
包含内容
IDE 覆盖范围
Dev Machine Guard 检测 macOS、Windows 和 Linux 上安装在以下 IDE 中的扩展程序:
- Visual Studio Code
- Cursor
- Windsurf
- Antigravity
- JetBrains IDE(IntelliJ IDEA、PyCharm、GoLand、WebStorm、RubyMine、CLion、Rider、PhpStorm、DataGrip、RustRover、Aqua、DataSpell、AppCode)
- 基于 Eclipse 的 IDE
- Android Studio
- Xcode
仪表板中的 IDE 扩展程序页面提供 IDE 筛选标签,使安全团队可以将视图范围缩小到单个 IDE,并显示每个 IDE 检测到的唯一扩展程序总数。
单项元数据
对于在开发者机器上找到的每个项目,Dev Machine Guard 记录:
- 名称、发布者和唯一标识符
- 已安装版本
- 项目类型是 Extension(VS Code 风格)还是 Plugin(JetBrains 风格)
- 是 用户安装 还是作为 IDE 的一部分附带
- 安装的 IDE
- 设备群中安装了该项目的设备列表及各自的版本
安全评分
每个扩展程序根据多个供应链信号获得安全评分:
- 安装量和采用率
- 发布近期性
- 发布者验证状态
- 许可证可用性
- 已知漏洞
- 仓库安全态势,包括分支保护和安全策略的存在
该评分在仪表板中以彩色条形图呈现,底层因素可见,使安全团队不仅了解扩展程序的评分 是什么,还能理解 为什么。
风险类型检测
风险类型筛选器显示两类已知风险项目:
- 已入侵 扩展程序:已识别到已知供应链入侵
- Typosquat:模仿合法扩展程序,通过略微更改名称诱使开发者安装
这些检测由 StepSecurity 的供应链威胁情报驱动,并在新事件确认后更新。
跨平台一致性
上述每个 IDE 都在 macOS、Windows 和 Linux 上进行扫描。相同的引擎、相同的清单模型、相同的安全评分,无论开发者机器位于何处。
安全团队现在可以做什么
扩展覆盖范围使多种操作工作流程成为可能,这些在以前是部分或不可能实现的:
- 跨 IDE 事件响应:"'扩展程序 X 刚刚被披露为已入侵。哪些开发者安装了它,在哪个 IDE 中,版本是什么?'"
- 跨 IDE 可视性:"'哪些 Cursor 用户安装的扩展程序是我们 VS Code 用户都没有安装的?'"
- Typosquat 狩猎:按风险类型 Typosquat 筛选仪表板,以发现跨设备群中冒充流行扩展程序的可疑扩展程序
- 已入侵扩展程序狩猎:按风险类型 Compromised 筛选,查找运行与已知供应链事件相关扩展程序的每台设备
- 风险优先级审查:使用安全评分将审查工作集中在底层信号(采用率低、最近的发布者、无许可证、已知漏洞)表明风险最大的扩展程序上
接下来会有什么
以下功能正在开发中:
- 扩展程序允许列表,定义组织中允许的 IDE 扩展程序
- 新扩展程序版本的冷却期,防止新发布的更新在被评估前被使用
这些控制将基于仪表板已有的相同跨 IDE 清单和安全评分构建,因此您编写的规则将一致地应用于 Dev Machine Guard 覆盖的每个 IDE 产品线。
如何开始
如果您已经在运行 Dev Machine Guard,扩展的 IDE 覆盖范围和安全评分会自动包含。更新到最新版本,下次扫描将跨每个支持的 IDE 清点扩展程序。
在社区模式下,所有数据保留在机器上。在企业模式下,合并的扩展程序清单和安全评分流入 StepSecurity 仪表板,您可以在其中按 IDE、风险类型和项目类型在整个设备群中进行筛选。
完整的 IDE 扩展程序功能参考,请参阅 Dev Machine Guard 文档。
尝试这个交互式演示以了解其工作方式:
一个清单,每个 IDE
大多数扩展程序治理工具是在"IDE"意味着"VS Code"的年代构建的。开发者设备群已经向前发展,保护它们的安全工具也必须随之跟进。
通过此版本,Dev Machine Guard 提供跨 7 个 IDE 产品线的每个 IDE 扩展程序和插件的单一跨平台清单,并在其上构建了内置评分和已知恶意检测。
如果您发现我们尚未覆盖的 IDE,请在 github.com/step-security/dev-machine-guard/issues 提交问题。扫描引擎是开源的,新 IDE 的检测一次添加后可使每个客户受益。