我有一个包含Pipfile的项目(由朋友创建(。我刚刚在VSCode中打开了文件夹,打开文件时收到以下消息:
Workspace contains pipfile but attempt to run 'pipenv --venv' failed with 'spawn pipenv ENOENT'. Make sure pipenv is on the PATH.
忽略了项目设置被无聊的事实,我对VSCode python扩展自动运行pipenv感到惊讶和担忧。
我的问题是:我不应该在VSCode中打开不受信任的文件夹吗?我的理由是,如果我打开一个恶意文件夹(例如假装是一个开源库(,那么 VSCode 似乎会自动运行 pip 安装,并且根据我对 pip 的了解,您似乎可以将恶意可执行文件放置在 PATH 中(即使它只是在 VSCode 工作区环境中(,然后用户会意外调用。因此,似乎只要尝试查看不受信任的文件夹,我就可以被pwed。思潮?
则VSCode似乎自动运行pip安装
VS Code 中的 Python 扩展不会自动安装 pip。请注意,这是pipenv的,而不是pip。 该命令pipenv --venv仅检查是否存在与当前目录关联的虚拟环境并打印该信息。https://pipenv.readthedocs.io/en/latest/#pipenv 看这里
所以似乎只要尝试查看不受信任的文件夹,我就可以被戳穿
再一次,它没有安装任何东西。这不是命令pipenv --venv的作用。