VS Code bổ sung độ trễ 2 giờ cho tính năng cập nhật tự động để ngăn chặn tấn công chuỗi cung ứng

Microsoft đã chính thức thông báo về một thay đổi quan trọng trong Visual Studio Code (VS Code) nhằm tăng cường bảo mật cho môi trường phát triển tích hợp (IDE). Cụ thể, các bản cập nhật của các extension sẽ bị trì hoãn tự động trong vòng hai giờ kể từ khi được phát hành.

Theo Microsoft, tính năng này được áp dụng từ phiên bản VS Code 1.123. Mục tiêu của việc trì hoãn là tạo ra một lớp bảo vệ bổ sung, giúp ngăn chặn các mã độc hoặc các bản phát hành bị xâm nhập (compromised) kịp thời phát tán trước khi người dùng tải về.

Tuy nhiên, Microsoft cũng lưu ý rằng người dùng vẫn có toàn quyền kiểm soát. Bạn có thể cập nhật thủ công bất kỳ extension nào ngay lập tức thông qua nút “Update”. Trong giao diện chi tiết của extension, VS Code sẽ hiển thị lý do tại sao bản cập nhật chưa được cài đặt và thời gian dự kiến quá trình tự động cập nhật sẽ diễn ra.

Đáng chú ý, cơ chế trì hoãn này không áp dụng cho các extension từ các nhà phát hành uy tín đã được xác thực như Microsoft, GitHub và OpenAI. Các extension từ những nguồn này vẫn sẽ được cập nhật ngay lập tức để đảm bảo tính ổn định và bảo mật.

Động thái này của Microsoft diễn ra trong bối cảnh các cuộc tấn công vào chuỗi cung ứng phần mềm đang ngày càng gia tăng. Trước đó, nhiều trình quản lý gói (package manager) phổ biến khác như RubyGems (với Bundler 4.0.13), Bun, pnpm, npm và Yarn cũng đã triển khai các tính năng tương tự như minimumReleaseAge hoặc min-release-age. Việc thiết lập độ trễ tối thiểu giúp các nhà quản trị registry có thêm thời gian để phát hiện và gỡ bỏ các gói phần mềm độc hại trước khi chúng kịp lây lan rộng rãi đến hệ thống của các nhà phát triển.

Nguồn tham khảo: The Hacker News