vscode python pipenv自动运行行为是否存在安全风险？_Python_Security_Visual Studio Code

vscode python pipenv自动运行行为是否存在安全风险？

python security visual-studio-code

vscode python pipenv自动运行行为是否存在安全风险？,python,security,visual-studio-code,Python,Security,Visual Studio Code,我有一个项目（由一位朋友创建），其中包含一个Pipfile。我刚刚在VSCode中打开文件夹，打开一个文件时，收到以下消息：工作区包含pipfile，但尝试运行“pipenv--venv”失败，返回“spawn pipenv enent”。确保pipenv位于路径上。忽略项目设置被破坏的事实，我对VSCode python扩展自动运行pipenv感到惊讶和担心我的问题是：我是否应该在VSCode中打开不受信任的文件夹？我的理由是，如果我打开了一个恶意文件夹（例如，假装是一个开源库），那么

我有一个项目（由一位朋友创建），其中包含一个

Pipfile

。我刚刚在VSCode中打开文件夹，打开一个文件时，收到以下消息：

工作区包含pipfile，但尝试运行“pipenv--venv”失败，返回“spawn pipenv enent”。确保pipenv位于路径上。

忽略项目设置被破坏的事实，我对VSCode python扩展自动运行pipenv感到惊讶和担心

我的问题是：我是否应该在VSCode中打开不受信任的文件夹？我的理由是，如果我打开了一个恶意文件夹（例如，假装是一个开源库），那么VSCode似乎会自动运行pip安装，并且从我对pip的了解来看，您可能会在用户随后意外调用的路径（即使它只是在VSCode工作区环境中）中放置恶意可执行文件。因此，似乎只要尝试查看一个不受信任的文件夹，我就可以得到它。想法

然后VSCode会自动运行pip安装

VS代码中的Python扩展不是自动安装pip。注意，这是

pipenv

，而不是

pip

。命令

pipenv--venv

仅检查是否存在与当前目录关联的虚拟环境，并打印该信息。看这里

因此，似乎只要尝试查看一个不受信任的文件夹，我就可以得到它

再一次，它没有安装任何东西。这不是命令

pipenv--venv

所做的