维度网讯，微软（Microsoft）宣布，其集成开发环境 Visual Studio Code（VS Code）将在自动更新扩展至新版本前施加 2 小时延迟，以应对软件供应链威胁。

该功能自 VS Code 1.123 版本起生效。启用自动更新后，新版本将在发布两小时后自动更新，为可能存在问题的或受损害的版本增加一层额外保护，微软官方表示。用户仍可随时通过“更新”按钮立即更新任何扩展，当扩展有挂起更新时，详细信息视图会显示尚未更新的原因及自动更新时间。

需要注意的是，2 小时延迟不适用于来自微软、GitHub 和 OpenAI 等可信发布者的扩展，这些扩展将继续立即更新。

此前不久，RubyGems 为 Bundler 4.0.13 添加了一项可选冷却功能，可延迟新发布的 gem 版本安装一段预设时间。具体而言，该功能允许开发者配置 Bundler 引入基于时间的安装延迟，旨在减少新发布恶意版本可能带来的暴露风险。

类似地，Bun 1.3+ 的 minimumReleaseAge、npm v11.10.0+ 的 min-release-age、pnpm 10.16+ 的 minimumReleaseAge 以及 Yarn Berry 4.10.0+ 的 npmMinimalAgeGate 均已引入基于最小发布年龄的延迟机制。这些变化正值针对各种生态系统的软件供应链事件激增，旨在入侵开发者系统并向下游用户传播恶意软件。通过在特定软件包版本可被安装前强制设置一个最小年龄阈值，这种防御性控制可最小化其在被标记为恶意并被注册表维护者移除前的传播窗口。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com