Meilleures pratiques pour la sécurité dans VSPackages
Pour installer le Kit de développement logiciel (SDK) Visual Studio sur votre ordinateur, vous devez être en cours d’exécution dans un contexte avec des informations d’identification d’administration. L’unité de base de sécurité et de déploiement d’une application Visual Studio est vsPackage. Un VSPackage doit être inscrit à l’aide de Visual Studio, qui nécessite également des informations d’identification d’administration.
Administration istrators disposent d’autorisations complètes pour écrire dans le registre et le système de fichiers, et pour exécuter n’importe quel code. Vous devez disposer de ces autorisations pour développer, déployer ou installer un VSPackage.
Dès qu’il est installé, un VSPackage est entièrement approuvé. En raison de ce haut niveau d’autorisation associé à un VSPackage, il est possible d’installer par inadvertance un VSPackage qui a une intention malveillante.
Les utilisateurs doivent s’assurer qu’ils installent des VSPackages uniquement à partir de sources approuvées. Les entreprises qui développent des VSPackages doivent fortement nommer et les signer, afin de garantir à l’utilisateur que la falsification est empêchée. Les entreprises qui développent des VSPackages doivent examiner leurs dépendances externes, telles que les services web et l’installation à distance, pour évaluer et corriger les problèmes de sécurité.
Pour plus d’informations, consultez les instructions de codage sécurisé pour .NET Framework.