### Fortaleciendo la seguridad de VS Code **Microsoft** está mejorando la postura de seguridad de su popular entorno de desarrollo integrado (**IDE**), **Visual Studio Code (VS Code)**, al introducir un retraso de dos horas para las actualizaciones automáticas de extensiones. Esta nueva función, disponible a partir de **VS Code 1.123**, está diseñada para crear un búfer crucial contra posibles amenazas a la cadena de suministro de software. "Cuando las actualizaciones automáticas están habilitadas, las nuevas versiones se actualizan automáticamente dos horas después de su publicación, añadiendo una capa adicional de protección contra lanzamientos problemáticos o potencialmente comprometidos", declaró **Microsoft** en su anuncio. Este retraso proporciona una ventana crítica para que los equipos de seguridad y los sistemas automatizados identifiquen y marquen las actualizaciones maliciosas o defectuosas antes de que se implementen ampliamente en las estaciones de trabajo de los desarrolladores. Los usuarios conservan la opción de actualizar manualmente cualquier extensión de inmediato a través del botón "Actualizar". La vista de detalles indicará por qué una extensión no se ha actualizado automáticamente y cuándo ocurrirá la actualización programada. Es importante tener en cuenta que este retraso de dos horas no se aplica a las extensiones de publicadores de confianza como **Microsoft**, **GitHub** y **OpenAI**, que continuarán actualizándose de inmediato. ### Un estándar de la industria en crecimiento La iniciativa de **Microsoft** refleja una tendencia más amplia dentro del ecosistema de desarrollo de software para mitigar los riesgos de la cadena de suministro. Pocos días antes, **RubyGems** introdujo una función de "cooldown" opcional en **Bundler 4.0.13**, permitiendo a los desarrolladores configurar un retraso de instalación basado en tiempo para las versiones de gem recién publicadas. Mecanismos de control de instalación similares, que imponen una edad mínima de lanzamiento, han sido adoptados por otros gestores de paquetes prominentes: * **Bun**: `minimumReleaseAge` (Bun 1.3+) * **npm**: `min-release-age` (npm v11.10.0+) * **pnpm**: `minimumReleaseAge` (pnpm 10.16+) * **Yarn**: `npmMinimalAgeGate` (Yarn Berry 4.10.0+) Estos cambios llegan en medio de un aumento en los incidentes de la cadena de suministro de software, donde los atacantes aprovechan las vulnerabilidades en las herramientas y bibliotecas de desarrollo para inyectar malware en aplicaciones posteriores. Al imponer un umbral de edad mínima antes de que una versión de paquete pueda ser instalada, estos controles defensivos reducen significativamente la ventana durante la cual un paquete malicioso puede propagarse antes de ser identificado y eliminado por los mantenedores del registro. Este enfoque proactivo es fundamental para proteger los sistemas de los desarrolladores y prevenir la propagación de malware a los usuarios finales.