Visual Studioで、信頼されていないプロジェクトを単に開くことのリスクは何ですか?緩和策とは何ですか?
私は潜在的に敵対的なコードのソースコードを見ています。いつものように、VS 2012はセキュリティ警告を出します:「信頼できるソースからのみプロジェクトを開く必要があります」...「このソリューションのすべてのプロジェクトについて確認してください」
- コードをコンパイルして実行せずに[OK]を押すと、マシンで何ができるでしょうか。
- VSでプロジェクトを開く前に、テキストエディターで何を検査する必要がありますか?
- コードをコンパイルする前に何を検査する必要がありますか?
信頼できるネットワークで敵対的なコードをダウンロードしてコンパイルし、そのコンパイルされた出力を隔離された場所に移動する[見当違い?]の意図があると思いますか?
これは、プロジェクト自体とVisual Studioの自動化に関係しています。 Visual Studioはかなり低レベルの処理を実行できるため、かなりの可能性があります。それを軽減する方法は、開く前にビルドステップなどについてプロジェクトとソリューションファイルを手動でチェックすることです(Visual Studioに精通していて、長すぎない場合はすべて人間が読めるXMLです)、または単に新しく作成したプロジェクトとソリューションにソースを追加します。
マクロはシステムにダメージを与える可能性があると思います。不明なソースからプロジェクトを開く前にマクロを無効にしてください。コードを盲目的にビルドしないでください。コードファイルやライブラリなどを調べてください。疑わしいものが見つかった場合は、閉じてください。プロジェクトを開く前にインターネットから切断することもできます。また、サンドボックスでビジュアルスタジオを実行してみることもできます(avastのようなアンチウイルスがこれを提供します)。
また、多くのサンプルプロジェクトがMicrosoftから提供されており、100%信頼できます。できる限り使用してみてください。