VS Code bổ sung thời gian chờ 2 giờ cho tính năng tự động cập nhật Extension nhằm hạn chế tấn công chuỗi cung ứng

Microsoft thông báo Visual Studio Code (VS Code) sẽ áp dụng thời gian chờ 2 giờ trước khi tự động cập nhật các extension nhằm tăng cường bảo mật, chống lại các mối đe dọa tấn công chuỗi cung ứng phần mềm. Khi tính năng này được kích hoạt, các phiên bản mới sẽ chỉ được cập nhật sau 2 giờ kể từ khi phát hành, tạo thêm lớp bảo vệ chống lại các bản phát hành độc hại.
Visual Studio Code cập nhật tính năng bảo mật mới
Microsoft bổ sung thời gian chờ cho các bản cập nhật extension trên VS Code

Microsoft đã thông báo rằng Visual Studio Code (VS Code) sẽ áp dụng thời gian trì hoãn hai giờ trước khi các extension dành cho môi trường phát triển tích hợp (IDE) được tự động cập nhật lên phiên bản mới hơn, nhằm nỗ lực đối phó với các mối đe dọa tấn công chuỗi cung ứng phần mềm.

"Khi tính năng tự động cập nhật được bật, các phiên bản mới sẽ tự động được cập nhật sau hai giờ kể từ khi chúng được phát hành, bổ sung thêm một lớp bảo vệ chống lại các bản phát hành có vấn đề hoặc có khả năng bị xâm nhập," Microsoft cho biết.

Tính năng mới này đã sẵn sàng bắt đầu từ phiên bản VS Code 1.123.

Gã khổng lồ công nghệ lưu ý rằng người dùng vẫn có tùy chọn cập nhật bất kỳ extension nào ngay lập tức vào bất kỳ lúc nào bằng cách sử dụng nút "Update". Khi các extension có bản cập nhật đang chờ xử lý, lý do tại sao chúng chưa được cập nhật sẽ hiển thị trong phần xem chi tiết, cùng với thời gian dự kiến quá trình tự động cập nhật diễn ra.

Tuy nhiên, thời gian trì hoãn hai giờ này không áp dụng cho các extension từ các nhà xuất bản đáng tin cậy như Microsoft, GitHub và OpenAI. Các extension từ những nguồn này sẽ tiếp tục được cập nhật ngay lập tức.

Xu hướng bảo vệ chuỗi cung ứng trong cộng đồng lập trình

Sự thay đổi này diễn ra chỉ vài ngày sau khi RubyGems thêm tính năng hạ nhiệt (cooldown) tùy chọn vào Bundler 4.0.13, giúp trì hoãn việc cài đặt các phiên bản gem mới phát hành trong một khoảng thời gian xác định.

Cụ thể, tính năng này cho phép các nhà phát triển cấu hình Bundler để thiết lập độ trễ cài đặt theo thời gian, với mục tiêu giảm thiểu rủi ro tiếp xúc với các phiên bản độc hại vừa mới được đăng tải.

Trong năm qua, các biện pháp kiểm soát cài đặt tương tự cũng đã được tích hợp vào Bun, pnpm, npm và Yarn:

  • Bun - minimumReleaseAge (Bun 1.3+)
  • npm - min-release-age (npm v11.10.0+)
  • pnpm - minimumReleaseAge (pnpm 10.16+)
  • Yarn - npmMinimalAgeGate (Yarn Berry 4.10.0+)

Những thay đổi này diễn ra trong bối cảnh các sự cố chuỗi cung ứng phần mềm gia tăng mạnh mẽ, nhắm vào nhiều hệ sinh thái khác nhau để xâm nhập hệ thống của nhà phát triển và phát tán mã độc đến người dùng cuối.

Việc áp dụng ngưỡng thời gian tối thiểu trước khi một phiên bản gói cụ thể có thể được cài đặt là một biện pháp phòng thủ hiệu quả. Nó giúp thu hẹp cửa sổ thời gian mà mã độc có thể lây lan trước khi bị các quản trị viên registry phát hiện và gỡ bỏ.