Para abordar las amenazas a la cadena de suministro de software, Microsoft anunció que Visual Studio Code (VS Code) impondrá un retraso de dos horas antes de que las extensiones en el entorno de desarrollo integrado (IDE) se actualicen automáticamente a nuevas versiones.
«Cuando las actualizaciones automáticas están habilitadas, las nuevas versiones se actualizan automáticamente dos horas después de su publicación, lo que proporciona una capa adicional de protección contra versiones problemáticas o potencialmente infractoras», dijo Microsoft.
Esta nueva característica está disponible a partir de VS Code 1.123.
El gigante tecnológico señaló que los usuarios aún tendrán la opción de actualizar instantáneamente la extensión en cualquier momento usando el botón «Actualizar». Si su extensión tiene actualizaciones pendientes, la vista de detalles le indicará por qué aún no se ha actualizado y cuándo se producirá una actualización automática.
Sin embargo, agregó que este retraso de dos horas no se aplica a extensiones de editores confiables como Microsoft, GitHub y OpenAI. Las extensiones de estos editores seguirán actualizándose al instante.
Este desarrollo se produce días después de que RubyGems agregara una función de enfriamiento opcional a Bundler 4.0.13 que retrasa la instalación de versiones de gemas recién publicadas durante un período predefinido.
Específicamente, esta característica permite a los desarrolladores configurar Bundler para introducir retrasos en la instalación basados en el tiempo destinados a reducir la exposición potencial resultante de versiones maliciosas recientemente publicadas.
Durante el año pasado, se agregaron controles de instalación similares a Bun, pnpm, npm y Yarn.
Bun – edad de liberación mínima (Bun 1.3+) npm – edad de liberación mínima (npm v11.10.0+) pnpm – edad de liberación mínima (pnpm 10.16+) Hilado – npmMinimalAgeGate (Yarn Berry 4.10.0+)
Estos cambios se producen en el contexto de un aumento de los incidentes en la cadena de suministro de software dirigidos a diversos ecosistemas que comprometen los sistemas de los desarrolladores y propagan malware a los usuarios intermedios.
Antes de imponer un umbral de edad mínima antes de que se pueda instalar una versión de paquete en particular, los controles defensivos minimizan el período de propagación antes de que un administrador de registro lo marque como malicioso y lo elimine.
Source link
