ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьVS Code вводит двухчасовую задержку автоматического обновления расширений, чтобы ограничить атаки через цепочку поставок
Компания Microsoft объявила, что в Visual Studio Code (VS Code) будет введена двухчасовая задержка перед автоматическим обновлением расширений для интегрированной среды разработки (IDE) до более новой версии в целях противодействия угрозам в цепочке поставок программного обеспечения.
«Когда включены автоматические обновления, новые версии обновляются автоматически через два часа после их публикации, что добавляет дополнительный уровень защиты от проблемных или потенциально скомпрометированных выпусков», — заявила Microsoft.
Новая функция доступна начиная с версии VS Code 1.123.
Технологический гигант отметил, что у пользователей по-прежнему есть возможность обновить любое расширение немедленно в любой момент времени с помощью кнопки «Обновить». Когда у расширений есть ожидающие обновления, в окне с подробностями будет отображаться причина, по которой они еще не обновлены, а также время, когда состоится автоматическое обновление.
При этом эта двухчасовая задержка не распространяется на расширения от доверенных издателей, таких как Microsoft, GitHub и OpenAI, добавили в компании. Расширения от таких издателей по-прежнему будут обновляться немедленно.
Это нововведение появилось через несколько дней после того, как RubyGems добавил в Bundler 4.0.13 опцию «cooldown», которая откладывает установку недавно опубликованных версий gem на заранее определенный период.
В частности, эта функция позволяет разработчикам настроить Bundler на введение задержки установки, основанной на времени, с целью снижения потенциального риска, возникающего из-за недавно опубликованных вредоносных версий.
За последний год аналогичные средства контроля установки были также добавлены в Bun, pnpm, npm и Yarn —
npm — min-release-age (npm v11.10.0+)
pnpm — minimumReleaseAge (pnpm 10.16+)
Yarn — npmMinimalAgeGate (Yarn Berry 4.10.0+)
Эти изменения происходят на фоне всплеска инцидентов в цепочке поставок программного обеспечения, направленных на различные экосистемы с целью взлома систем разработчиков и распространения вредоносного ПО среди конечных пользователей.
Прежде чем ввести порог минимального возраста, после которого можно установить конкретную версию пакета, этот защитный механизм сводит к минимуму период, в течение которого вредоносный код распространяется, прежде чем он будет помечен как вредоносный и удален администраторами реестра.
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение