VS Code 工作区信任怎么用？安全机制和配置详解

工作区信任是 VS Code 的安全机制：打开一个你不信任的项目（比如从 GitHub 随便 clone 的仓库）时，限制某些功能执行，防止恶意代码通过自动任务、扩展或调试配置在你电脑上搞事情。

怎么工作

打开一个新项目时，VS Code 会弹出提示："你信任这个文件夹里的代码作者吗？"选信任 → 所有功能正常；选不信任 → 部分功能被禁用，状态栏显示黄色盾牌图标。

不信任时被禁用的功能：任务自动执行（防止 .vscode/tasks.json 里的恶意命令自动跑）、部分扩展不激活（防止扩展读取工作区文件）、调试配置不加载（防止 launch.json 执行危险命令）、终端工作目录不自动切换、工作区设置不生效。

说白了：你不信任的工作区，VS Code 不允许任何"自动执行"行为——必须你手动触发才行。

实际场景

该信任的：自己写的项目、公司内部仓库、长期维护的代码库。信任后开发体验不受任何限制。

不该信任的：从网上随便下载的代码、别人发来的压缩包、来路不明的 GitHub 仓库。这些项目可能在 .vscode/tasks.json 里藏了 rm -rf /，或在 launch.json 里配了执行恶意脚本的 preLaunchTask。

配置速查

json
{
  // 开启工作区信任（默认已开启）
  "security.workspace.trust.enabled": true,
  // 打开不受信任文件时的行为："open" 直接开 / "newWindow" 新窗口开 / "prompt" 每次问
  "security.workspace.trust.untrustedFiles": "open",
  // 启动时是否弹出信任提示："always" 每次问 / "once" 只问一次
  "security.workspace.trust.startupPrompt": "once"
}

觉得弹窗烦？设 startupPrompt: "once" 就只问一次，之后记住你的选择。彻底关掉信任功能设 enabled: false——但不推荐，等于卸了保险。

追问

不信任的工作区里怎么手动执行任务？

Ctrl+Shift+P → Tasks: Run Task，手动选择要运行的任务。不信任只是禁止自动执行，手动触发始终可以——VS Code 认为你手动操作代表你知道自己在干什么。

信任了一个项目后怎么撤销？

点击状态栏的盾牌图标 → "Manage Workspace Trust" → 切换为不信任。或者 Ctrl+Shift+P → "Workspace: Manage Workspace Trust"。撤销后受限功能立即生效，不需要重启。

团队协作时信任策略怎么统一？

项目根目录放 .vscode/settings.json，但工作区信任设置不在里面——它是用户级别的偏好。团队里能统一的是：确保 .vscode/ 下的配置文件不包含危险操作（如 preLaunchTask 执行 shell 脚本），这样即使新成员信任了工作区也不会触发意外行为。好的实践是把构建命令放在 npm scripts 里而非 tasks.json。