Material Theme誤判後續

就在四天前，微軟的 VS Code 團隊道歉了，說 Material Theme 被判定為惡意軟體是 false positive，誤會一場。

兩週前 3/2 我有寫了一篇貼文談 Material Theme，主要是在講雖然它可疑，但沒有證據證明它是惡意軟體，因此還需要再等一段時間才能有結論。

在寫那篇貼文時，我的立場其實是「微軟應該要有確切證據才能把套件下架」，文章底下也有許多網友的看法，看了看之後我思考了一下，改成了贊同微軟的做法：「有足夠的信心就能先下架」，但前提是在下架時需要十分謹慎。

當某個套件足夠可疑時先下架，或許就能搶先一步保護使用者，這是好的沒錯。但如果是 false positive 呢？那作者的名聲就會受到損害。就算事後做出澄清了，能看到消息的人又有多少呢？

因此，下架時要更小心，更強調「還在驗證中」這件事，在這點上，我覺得 VS Code 團隊還有進步的空間。他們發表的言論比較像是：「雖然還沒完全確定，但我滿有自信它是惡意軟體」，而不是更中性的「還沒確認，請等我們驗證完」。

由於兩週前在寫這件事的時候就覺得有滿多點可以聊的，因此原本就打算事情告一段落來寫篇文章，叫做：《VS Code Material Theme 不是惡意軟體——安全的線該畫在哪？》。

內文會稍微整理一下事情的經過以及結果，提出我自己的一些看法。其實原本還想要聊「Editor/IDE 本身該如何防禦惡意的擴充套件」這件事情，但寫著寫著有點累了，以後再說吧。

至於有關 Material Theme 開源授權的支線故事，這段我倒是沒有仔細研究，因為我認為與它是不是個惡意軟體關係不大，就沒特別聊了。