### VS Codeのセキュリティ強化 **Microsoft**は、人気の統合開発環境 (**IDE**) である**Visual Studio Code (VS Code)**のセキュリティ体制を強化するため、拡張機能の自動アップデートに2時間の遅延を導入しています。この新機能は**VS Code 1.123**から利用可能になり、潜在的なソフトウェアサプライチェーンの脅威に対する重要なバッファーを作成するように設計されています。 「自動アップデートが有効になっている場合、新しいバージョンは公開から2時間後に自動更新され、問題のある、または侵害されている可能性のあるリリースに対する保護層が追加されます」と**Microsoft**は発表で述べています。 この遅延により、セキュリティチームや自動システムが、悪意のある、またはバグのあるアップデートが開発者のワークステーション全体に広く展開される前に、それらを特定しフラグを立てるための重要なウィンドウが提供されます。ユーザーは、「アップデート」ボタンを通じて、任意の拡張機能をすぐに手動でアップデートするオプションを引き続き利用できます。詳細ビューには、拡張機能が自動的にアップデートされなかった理由と、スケジュールされたアップデートがいつ発生するかを示すインジケーターが表示されます。 **Microsoft**、**GitHub**、**OpenAI**などの信頼された発行元の拡張機能には、この2時間の遅延は適用されず、引き続き即座にアップデートされることに注意することが重要です。 ### 広がる業界標準 **Microsoft**の取り組みは、ソフトウェア開発エコシステム全体でサプライチェーンリスクを軽減するためのより広範なトレンドを反映しています。わずか数日前、**RubyGems**は**Bundler 4.0.13**にオプトインのクールダウン機能を導入し、開発者が新しく公開されたgemバージョンのインストールに時間ベースの遅延を設定できるようにしました。 リリースから最低限経過した期間を強制する同様のインストール制御メカニズムは、他の著名なパッケージマネージャーによって採用されています。 * **Bun**: `minimumReleaseAge` (Bun 1.3+) * **npm**: `min-release-age` (npm v11.10.0+) * **pnpm**: `minimumReleaseAge` (pnpm 10.16+) * **Yarn**: `npmMinimalAgeGate` (Yarn Berry 4.10.0+) これらの変更は、攻撃者が開発ツールやライブラリの脆弱性を悪用して、下流のアプリケーションにマルウェアを注入するソフトウェアサプライチェーンインシデントの急増の中で行われています。パッケージバージョンがインストール可能になる前に最低限経過した期間を強制することで、これらの防御制御は、レジストリの保守担当者によって特定され削除される前に、悪意のあるパッケージが拡散する可能性のあるウィンドウを大幅に削減します。このプロアクティブなアプローチは、開発者のシステムを保護し、エンドユーザーへのマルウェアの拡散を防ぐために不可欠です。