### Fortalecendo a Segurança do VS Code **Microsoft** está aprimorando a postura de segurança de seu popular ambiente de desenvolvimento integrado (**IDE**), **Visual Studio Code (VS Code)**, introduzindo um atraso de duas horas para atualizações automáticas de extensões. Este novo recurso, disponível a partir do **VS Code 1.123**, foi projetado para criar um buffer crucial contra potenciais ameaças à cadeia de suprimentos de software. "Quando as atualizações automáticas estão habilitadas, novas versões são atualizadas automaticamente duas horas após serem publicadas, adicionando uma camada extra de proteção contra lançamentos problemáticos ou potencialmente comprometidos", afirmou a **Microsoft** em seu anúncio. Este atraso fornece uma janela crítica para equipes de segurança e sistemas automatizados identificarem e sinalizarem atualizações maliciosas ou com bugs antes que sejam amplamente implantadas em estações de trabalho de desenvolvedores. Os usuários mantêm a opção de atualizar manualmente qualquer extensão imediatamente através do botão "Update". A visualização de detalhes indicará por que uma extensão não foi atualizada automaticamente e quando a atualização agendada ocorrerá. É importante notar que este atraso de duas horas não se aplica a extensões de publicadores confiáveis como **Microsoft**, **GitHub** e **OpenAI**, que continuarão a ser atualizadas imediatamente. ### Um Padrão Crescente na Indústria A iniciativa da **Microsoft** reflete uma tendência mais ampla no ecossistema de desenvolvimento de software para mitigar riscos na cadeia de suprimentos. Poucos dias antes, o **RubyGems** introduziu um recurso de "cooldown" opcional no **Bundler 4.0.13**, permitindo que os desenvolvedores configurem um atraso de instalação baseado em tempo para novas versões de gem publicadas. Mecanismos semelhantes de controle de instalação, que impõem uma idade mínima de lançamento, foram adotados por outros gerenciadores de pacotes proeminentes: * **Bun**: `minimumReleaseAge` (Bun 1.3+) * **npm**: `min-release-age` (npm v11.10.0+) * **pnpm**: `minimumReleaseAge` (pnpm 10.16+) * **Yarn**: `npmMinimalAgeGate` (Yarn Berry 4.10.0+) Essas mudanças chegam em meio a um aumento nos incidentes de cadeia de suprimentos de software, onde atacantes exploram vulnerabilidades em ferramentas e bibliotecas de desenvolvimento para injetar malware em aplicações downstream. Ao impor um limite mínimo de idade antes que uma versão de pacote possa ser instalada, esses controles defensivos reduzem significativamente a janela durante a qual um pacote malicioso pode se espalhar antes de ser identificado e removido pelos mantenedores do registro. Essa abordagem proativa é crucial para proteger os sistemas dos desenvolvedores e prevenir a propagação de malware para usuários finais.