面對日益嚴重的軟體供應鏈攻擊,Microsoft 在 Visual Studio Code (VS Code) 1.123 版本中引入了一項關鍵的安全更新:針對擴充功能 (Extensions) 的自動更新機制增加了兩小時的延遲時間。對於初入工程領域的開發者來說,這項看似簡單的延遲,實際上是針對現代開發環境中一個極其危險的漏洞所設計的防禦手段。
首先我們需要理解什麼是供應鏈攻擊 (Supply Chain Attack)。在現代開發流程中,我們高度依賴第三方套件或插件來提升效率。如果攻擊者成功入侵了某個熱門插件的開發者帳號,或者透過惡意提交將後門代碼植入該插件,並發布新版本,那麼所有開啟自動更新的用戶都會在短時間內將惡意代碼下載到自己的開發機中。由於開發機通常擁有存取原始碼、環境變數以及部署權限的高權限,這會導致極其嚴重的資安災難。
為了降低這種風險,VS Code 採取了延遲更新策略。當一個新版本的擴充功能被發布到市場後,系統不會立即為用戶更新,而是會等待兩小時。這段時間在資安防禦上被稱為冷卻期 (Cooldown Period)。其核心目的是為社群與維運團隊爭取反應時間。如果該版本包含惡意代碼,通常在發布後的短時間內會被安全研究員發現並向平台舉報,平台隨後能迅速將其下架。透過這兩小時的緩衝,大部分的自動更新用戶可以避開最危險的感染高峰期。
在實際操作上,這項機制並非強制且不影響所有插件。為了平衡安全與效率,Microsoft 設定了信任名單。來自 Microsoft、GitHub 以及 OpenAI 等信任發布者 (Trusted Publishers) 的插件將維持即時更新,因為這些組織擁有更嚴格的內部審核流程。對於其他第三方插件,用戶若有緊急需求,依然可以透過手動點擊更新按鈕來立即升級。此外,VS Code 會在詳細視圖中明確告知用戶為何更新尚未執行,以及預計的更新時間,確保開發過程的透明度。
值得注意的是,這種延遲安裝的思維目前已成為業界的主流趨勢。除了 VS Code,許多主流的套件管理工具也導入了類似的機制。例如 RubyGems 的 Bundler 4.0.13 提供了可選的冷卻功能,而 Bun、npm、pnpm 以及 Yarn 等 JavaScript 生態系的工具,也都陸續加入了 minimumReleaseAge (最小發布年齡) 或類似的門檻設定。這些工具允許工程師設定一個時間門檻,規定套件必須發布超過一定時間後才允許安裝。
總結來說,這項變動反映了開發環境從追求極速更新轉向追求安全韌性的轉型。對於工程師而言,意識到自動化工具可能成為攻擊路徑是非常重要的。雖然兩小時的延遲無法完全杜絕所有攻擊,但它有效地縮小了惡意代碼在社群中快速擴散的窗口,將風險控制在可管理的範圍內。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。