Visual Studio Code legt pauze van 2 uur op voor updaten van npm-packages

In dit artikel:

In de nieuwste Visual Studio Code-release (versie 1.123) introduceert Microsoft een standaardvertraging van twee uur voor automatische updates van recent gepubliceerde extensies. Die tijdelijke pauze, actief wanneer automatische updates aan staan, moet extra tijd creëren om problematische of mogelijk gecompromitteerde releases te signaleren nadat er de afgelopen maanden meerdere npm-supplychainaanvallen zijn geweest. Gebruikers die direct willen updaten kunnen de wachttijd omzeilen door handmatig op de Update-knop te klikken.

Microsoft laat wel uitzonderingen toe: extensies van 'vertrouwde uitgevers' zoals Microsoft zelf, GitHub en OpenAI worden meteen bijgewerkt. Dat beleid heeft volgens critici een aandachtspunt, omdat een recente grote aanval via een schijnbaar vertrouwde uitgever (Red Hat) liet zien dat ook die route misbruikt kan worden. De maatregel is dus vooral bedoeld als extra verdedigingslaag tegen ingezette kwaadaardige packages.