vscode-ext-auditor

v0.1.0

Published

18 days ago

SAST + SCA security auditor for installed VS Code extensions. Zero external runtime dependencies.

0High
0Medium
0Low

andercdev

vscode extension security audit sast sca vulnerability static-analysis

vscode-ext-auditor

SAST + SCA para extensiones de VS Code instaladas localmente.

Este proyecto analiza extensiones instaladas en tu máquina y genera reportes de seguridad con:

SAST: reglas estáticas sobre JavaScript/TypeScript para detectar patrones de riesgo.
SCA: revisión de dependencias contra advisories públicas de npm.
Verificación opcional de publisher en Marketplace de VS Code.
Reporte JSON y reporte HTML.

Características

Escaneo local de extensiones desde ~/.vscode/extensions.
Filtro por severidad: info, medium, high, critical.
Soporte de whitelist (publishers, extensiones y dominios confiables).
Modo profundo para ampliar cobertura de archivos.
Exit codes útiles para CI/CD.

Requisitos

Node.js 18 o superior.

Instalación

Sin instalación global (ejecución directa):

# npm
npx vscode-ext-audit

# pnpm
pnpm dlx vscode-ext-audit

# yarn
yarn dlx vscode-ext-audit

# bun
bunx vscode-ext-audit

Con instalación global:

# npm
npm install -g vscode-ext-auditor

# pnpm
pnpm add -g vscode-ext-auditor

# yarn
yarn global add vscode-ext-auditor

# bun
bun add -g vscode-ext-auditor

Una vez instalado globalmente:

vscode-ext-audit [opciones]

Uso de la CLI

Comando base

vscode-ext-audit [opciones]

Opciones

--output ruta del reporte JSON. Default: vscode-audit-report.json
--min-severity info | medium | high | critical. Default: info
--filter audita solo extensiones que coincidan con el texto
--skip omite una extensión concreta (repetible)
--whitelist-file JSON con whitelist custom
--audit-all desactiva whitelist built-in
--no-sca desactiva SCA
--no-sast desactiva SAST
--deep escaneo más profundo (más lento)
--no-json no genera JSON
--no-html no genera HTML
--quiet menos salida por consola
--marketplace valida badge de publisher en Marketplace

Ejemplos

Escaneo rápido, solo hallazgos altos o críticos:

npm run audit:quick

Escaneo profundo:

npm run audit:full

Escaneo solo SAST con salida custom:

vscode-ext-audit --no-sca --min-severity high --output report.json

Escaneo con verificación de Marketplace:

vscode-ext-audit --marketplace

Códigos de salida

0: sin hallazgos críticos y sin hallazgos altos/SCA bloqueantes
1: hallazgos altos o findings SCA
2: hallazgos críticos
3: error fatal de ejecución

Formato de reportes

El reporte JSON incluye:

metadata de ejecución
resumen de extensiones auditadas
conteos por severidad
hallazgos SAST por archivo/línea
hallazgos SCA por paquete/dependencia
resultado de verificación de Marketplace (si se usa la opción)

También se genera un HTML equivalente para revisión rápida.

Whitelist custom

Puedes proveer un archivo JSON para extender la confianza:

{
  "publishers": ["mi-org"],
  "extensions": ["mi-org.mi-extension"],
  "domains": ["internal.miempresa.com"]
}

Uso:

vscode-ext-audit --whitelist-file ./whitelist.json

Licencia

MIT

Published

Vulnerabilities

Links

Maintainers

Keywords

Readme

vscode-ext-auditor

Características

Requisitos

Instalación

Uso de la CLI

Comando base

Opciones

Ejemplos

Códigos de salida

Formato de reportes

Whitelist custom

Licencia