VS Code verzögert automatische Extension-Updates um zwei Stunden

Zusammenfassung

Microsoft führt in Visual Studio Code eine neue Schutzmaßnahme gegen Risiken in der Software-Lieferkette ein: Erweiterungen der Entwicklungsumgebung werden bei aktivierten automatischen Updates künftig erst zwei Stunden nach Veröffentlichung einer neuen Version eingespielt. Nach Angaben des Unternehmens soll diese Verzögerung eine zusätzliche Schutzschicht gegen fehlerhafte oder möglicherweise kompromittierte Releases schaffen. Verfügbar ist die Funktion ab VS Code 1.123. Nutzer können Updates weiterhin jederzeit manuell sofort anstoßen. In der Detailansicht einer Erweiterung zeigt VS Code bei ausstehenden Aktualisierungen zudem an, warum das Update noch nicht erfolgt ist und wann die automatische Aktualisierung stattfinden wird. Microsoft nimmt allerdings Erweiterungen bestimmter vertrauenswürdiger Herausgeber von der Verzögerung aus: Veröffentlichungen von Microsoft, GitHub und OpenAI werden weiterhin ohne Wartezeit automatisch aktualisiert. Die Änderung steht im Kontext einer breiteren Entwicklung, bei der mehrere Paket-Ökosysteme in den vergangenen Monaten ähnliche Verzögerungsmechanismen eingeführt haben, um die Verbreitung bösartiger Versionen nach einer Veröffentlichung einzudämmen.

Nach Angaben von Microsoft soll die neue Verzögerung bei automatischen Updates in VS Code das Risiko problematischer oder potenziell kompromittierter Erweiterungsversionen senken. Ist die automatische Aktualisierung aktiviert, installiert die IDE neue Versionen von Extensions nicht mehr sofort nach deren Veröffentlichung, sondern mit einem Abstand von zwei Stunden.

Die Funktion steht ab VS Code 1.123 bereit. Wer nicht warten will, kann Erweiterungen weiterhin manuell über die Schaltfläche „Update“ sofort aktualisieren. Wenn für eine Extension ein Update aussteht, zeigt die Detailansicht laut Microsoft außerdem den Grund für die Verzögerung und den Zeitpunkt an, zu dem die automatische Aktualisierung ausgeführt wird.

Nicht für alle Erweiterungen gilt die Wartezeit. Microsoft erklärte, dass Extensions von vertrauenswürdigen Herausgebern wie Microsoft, GitHub und OpenAI weiterhin unmittelbar aktualisiert werden. Die zweistündige Verzögerung ist damit vor allem für andere Publisher gedacht.

Die Änderung kommt kurz nachdem RubyGems eine optionale Abkühlfunktion in Bundler 4.0.13 eingeführt hat. Diese Funktion verzögert die Installation neu veröffentlichter Gem-Versionen für einen vordefinierten Zeitraum. Ziel ist es laut der Beschreibung, die mögliche Gefährdung durch neu publizierte bösartige Versionen zu verringern.

Ähnliche Installationskontrollen wurden im vergangenen Jahr auch in Bun, pnpm, npm und Yarn ergänzt. Der gemeinsame Ansatz dahinter ist eine zeitbasierte Verzögerung, bevor eine neue Paketversion installiert werden darf.

Hintergrund ist ein Anstieg von Vorfällen in der Software-Lieferkette in verschiedenen Ökosystemen. Solche Angriffe zielen darauf ab, Systeme von Entwicklern zu kompromittieren und Schadsoftware an nachgelagerte Nutzer weiterzugeben. Eine Mindestalter-Schwelle für Paketversionen soll laut dem Quelltext das Zeitfenster verkleinern, in dem sich eine schädliche Veröffentlichung verbreiten kann, bevor sie als bösartig erkannt und von den Betreibern eines Registrys entfernt wird.

VS Code verzögert automatische Extension-Updates um zwei Stunden

Ähnliche Artikel

Neueste Artikel