Zed IDE, geliştiricileri ve yazılım tedarik zincirini daha iyi korumak amacıyla "Worktree Trust" mekanizmasını tanıttı. v0.218.2-pre sürümüyle önizleme olarak sunulan bu özellik, Zed'in proje ayarlarını, dil sunucularını (language servers) ve MCP sunucularını ele alış biçimini değiştirerek, bu ayarlarda bulunabilecek potansiyel olarak kötü amaçlı içeriklere karşı daha güçlü bir koruma sağlıyor. Bu adım, Zed'in "varsayılan olarak güvenli" (secure-by-default) prensiplerini benimseme yolundaki ilk önemli adımı temsil ediyor.
"Varsayılan olarak güvenli" prensibi, yazılım tasarımında güvenlik yükünün son kullanıcı yerine yazılım üreticisine ait olduğunu belirtir. Bu yaklaşımla geliştirilen ürünler, kutudan çıktığı gibi bilinen tehditlere karşı dayanıklı olmayı hedefler ve güçlü bir güvenlik duruşu için ek yapılandırma gerektirmez. Zed için bu, artık projeleri açarken dil sunucularının veya MCP sunucularının otomatik olarak indirilmeyeceği veya çalıştırılmayacağı anlamına geliyor. Kullanıcılara, seçilen çalışma ağacına (worktree) güvenip güvenmeyecekleri konusunda bilinçli bir karar verme fırsatı sunulacak. Böylece, proje ayarları aracılığıyla keyfi kod yürütülmesinin önüne geçiliyor.
Bu değişikliklerin arkasında, Mindgard'dan Aaron Portnoy'un yakın tarihli güvenlik açığı raporları yatıyor. Bu raporlar, Zed'in daha önce yeni çalışma ağaçlarında proje ayarlarıyla birlikte kodu otomatik olarak indirip çalıştırdığını, kullanıcılara ne olup bittiğini gözden geçirme fırsatı vermediğini ortaya koymuştu. Bir projeyi açmak, dil sunucusu indirmelerini tetikleyebilir, MCP sunucularını başlatabilir veya ilgili ayarlarla ilişkili keyfi kodları çalıştırabilirdi. Worktree Trust, bu tür riskleri ortadan kaldırarak geliştiricilerin güvenliğini ön planda tutuyor.
Bu mekanizma, geliştirme ortamlarında otomatik kod yürütme risklerini azaltarak yazılım tedarik zinciri güvenliğini önemli ölçüde artırıyor.