Inicio Tecnología VS Code agrega un retraso de actualización automática de extensión de 2 horas para limitar los ataques a la cadena de suministro

VS Code agrega un retraso de actualización automática de extensión de 2 horas para limitar los ataques a la cadena de suministro

Aactualidad Mundial
-
0
VS Code agrega un retraso de actualización automática de extensión de 2 horas para limitar los ataques a la cadena de suministro

Microsoft ha anunciado que Visual Studio Code (VS Code) aplicará un retraso de dos horas antes de que las extensiones para el entorno de desarrollo integrado (IDE) se actualicen automáticamente a una versión más nueva en un intento de abordar las amenazas a la cadena de suministro de software.

«Cuando se habilitan las actualizaciones automáticas, las nuevas versiones se actualizan automáticamente dos horas después de su publicación, agregando una capa adicional de protección contra versiones problemáticas o potencialmente comprometidas», dijo Microsoft.

La nueva función está disponible a partir de VS Code 1.123.

El gigante tecnológico señaló que los usuarios aún tienen la opción de actualizar cualquier extensión inmediatamente en cualquier momento usando el botón «Actualizar». Cuando las extensiones tienen actualizaciones pendientes, un motivo por el cual aún no se han actualizado estará disponible en la vista de detalles, junto con cuándo se realizará la actualización automática.

Dicho esto, este retraso de dos horas no se aplica a extensiones de editores confiables como Microsoft, GitHub y OpenAI, agregó. Las extensiones de dichos editores seguirán actualizándose inmediatamente.

El desarrollo se produce días después de que RubyGems agregara una función de enfriamiento opcional a Bundler 4.0.13 que retrasa la instalación de versiones de gemas recién publicadas durante un período predefinido.

Específicamente, la función permite a los desarrolladores configurar Bundler para introducir un retraso de instalación basado en el tiempo con el objetivo de reducir la exposición potencial que surge de las versiones maliciosas recientemente publicadas.

Durante el año pasado, también se agregaron controles de instalación similares a Bun, pnpm, npm y Yarn.

  • Bueno – edad mínima de liberación (Bueno 1.3+)
  • npm – edad mínima de lanzamiento (npm v11.10.0+)
  • pnpm – edad mínima de liberación (pnpm 10.16+)
  • Hilo – npmMinimalAgeGate (Yarn Berry 4.10.0+)
LEER  Primera VPN desmantelada en una eliminación global por el uso de 25 grupos de ransomware

Estos cambios llegan en el contexto de un aumento en los incidentes en la cadena de suministro de software que tienen como objetivo varios ecosistemas para violar los sistemas de los desarrolladores y propagar malware a los usuarios intermedios.

Antes de imponer un umbral de edad mínima antes de que se pueda instalar una versión de paquete en particular, el control defensivo minimiza la ventana durante la cual se propaga antes de que los mantenedores del registro lo marquen como malicioso y lo eliminen.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí