VS Code、サプライチェーン攻撃対策として拡張機能の自動更新に2時間の遅延を導入

概要

Microsoftは、Visual Studio Code（VS Code）の拡張機能に2時間の自動更新遅延機能を導入すると発表しました。これはサプライチェーン攻撃（悪意のある開発者が公開ツールに悪質なコードを混入させる攻撃）に対抗するための対策です。新バージョン公開後、2時間の猶予期間を設けることで、悪質または侵害された拡張機能が検出・削除される時間を確保します。ただしMicrosoft、GitHub、OpenAIなど信頼できる発行元の拡張機能は即座に更新されます。ユーザーは「更新」ボタンで任意に即座更新も可能です。同様の対策はRubyGems、npm、pnpm、Yarn、Bunなど複数のパッケージ管理システムでも導入されており、ソフトウェア産業全体でセキュリティが強化される動きが広がっています。

元記事（The Hacker News）