VS Code新增擴充套件自動更新延遲機制，降低供應鏈攻擊風險

圖片來源/微軟

根據微軟說明，這項機制是防範軟體供應鏈風險的額外保護，適用於一般擴充套件發布流程；來自微軟、GitHub、OpenAI等受信任的發布者的擴充套件，仍會維持立即更新。使用者若有立即更新需求，也可前往擴充套件頁面，手動安裝最新版本。

資安媒體The Hacker News指出，這類提供「冷卻期（cooldown）」緩衝的延遲更新機制，已逐漸成為開源套件與開發工具生態系因應供應鏈攻擊風險的措施之一。包括RubyGems生態的Bundler、Bun、NPM、pnpm與Yarn，都已陸續加入類似的延遲更新機制。其目的在於防範潛在惡意或異常版本上架後、遭標記為惡意並由套件庫維護者下架前的安全空窗期，藉此降低開發者環境及下游使用者（downstream users）受到波及的風險。