vscode-python pipenv自动运行行为是一种安全风险吗？

Question

我有一个包含Pipfile的项目(由朋友创建)。我刚刚在VSCode中打开了文件夹，在打开一个文件时，收到了以下消息：

Workspace contains pipfile but attempt to run 'pipenv --venv' failed with 'spawn pipenv ENOENT'. Make sure pipenv is on the PATH.

忽略了项目设置是边界化的事实，我对VSCode python扩展自动运行pipenv感到惊讶和担忧。

我的问题是:我不应该在VSCode中打开不可信的文件夹吗？我的推理是，如果我打开了一个恶意文件夹(例如，假装是一个开源库)，那么VSCode就会自动运行pip安装，据我所知，您可能会将恶意可执行文件放置在用户意外调用的路径中(即使它只是在VSCode工作区环境中)。因此，只要尝试使用，就可以查看，一个不受信任的文件夹，我可能会被清理。有什么想法？

Answer 1

然后VSCode出现自动运行pip安装。

VS代码中的Python扩展不是自动安装pip。注意，这是pipenv而不是pip。命令pipenv --venv只检查是否存在与当前目录相关联的虚拟环境，并打印该信息。见这里https://pipenv.readthedocs.io/en/latest/#pipenv

所以看起来，只要看看一个不可信的文件夹，我就会被清理掉。

再一次，它没有安装任何东西。这不是pipenv --venv命令所做的。