### Stärkung der VS Code-Sicherheit **Microsoft** verbessert die Sicherheitslage seiner beliebten integrierten Entwicklungsumgebung (**IDE**), **Visual Studio Code (VS Code)**, indem es eine zweistündige Verzögerung für automatische Extension-Updates einführt. Diese neue Funktion, die ab **VS Code 1.123** verfügbar ist, soll einen entscheidenden Puffer gegen potenzielle Bedrohungen in der Software-Lieferkette schaffen. "Wenn automatische Updates aktiviert sind, werden neue Versionen zwei Stunden nach ihrer Veröffentlichung automatisch aktualisiert, was eine zusätzliche Schutzschicht gegen problematische oder potenziell kompromittierte Veröffentlichungen bietet", erklärte **Microsoft** in seiner Ankündigung. Diese Verzögerung bietet ein kritisches Zeitfenster für Sicherheitsteams und automatisierte Systeme, um bösartige oder fehlerhafte Updates zu identifizieren und zu kennzeichnen, bevor sie weit verbreitet auf Entwickler-Workstations installiert werden. Benutzer behalten die Option, jede Extension sofort manuell über die Schaltfläche "Aktualisieren" zu aktualisieren. Die Detailansicht zeigt an, warum eine Extension nicht automatisch aktualisiert wurde und wann die geplante Aktualisierung stattfinden wird. Es ist wichtig zu beachten, dass diese zweistündige Verzögerung nicht für Extensions von vertrauenswürdigen Herausgebern wie **Microsoft**, **GitHub** und **OpenAI** gilt, die weiterhin sofort aktualisiert werden. ### Ein wachsender Industriestandard Die Initiative von **Microsoft** spiegelt einen breiteren Trend im Softwareentwicklungs-Ökosystem wider, Risiken in der Lieferkette zu mindern. Nur wenige Tage zuvor führte **RubyGems** in **Bundler 4.0.13** eine opt-in-Cooldown-Funktion ein, die es Entwicklern ermöglicht, eine zeitbasierte Installationsverzögerung für neu veröffentlichte Gem-Versionen zu konfigurieren. Ähnliche Kontrollmechanismen für die Installation, die ein Mindestalter für die Veröffentlichung erzwingen, wurden von anderen namhaften Paketmanagern übernommen: * **Bun**: `minimumReleaseAge` (Bun 1.3+) * **npm**: `min-release-age` (npm v11.10.0+) * **pnpm**: `minimumReleaseAge` (pnpm 10.16+) * **Yarn**: `npmMinimalAgeGate` (Yarn Berry 4.10.0+) Diese Änderungen erfolgen inmitten einer Zunahme von Vorfällen in der Software-Lieferkette, bei denen Angreifer Schwachstellen in Entwicklungswerkzeugen und Bibliotheken ausnutzen, um Malware in nachgelagerte Anwendungen einzuschleusen. Durch die Erzwingung eines Mindestalters vor der Installation einer Paketversion reduzieren diese Abwehrmaßnahmen erheblich das Zeitfenster, in dem ein bösartiges Paket verbreitet werden kann, bevor es von den Registry-Betreuern identifiziert und entfernt wird. Dieser proaktive Ansatz ist entscheidend für den Schutz von Entwicklersystemen und die Verhinderung der Verbreitung von Malware an Endbenutzer.