VS Code 1.123 新增两小时插件更新缓冲，防范供应链恶意攻击

摘要

据InfoQ中文报道，VS Code 1.123版本新增一项安全特性：为插件更新引入两小时缓冲机制，旨在防范供应链恶意攻击。该功能允许用户在插件更新后有两小时的冷静期，期间可审查更新内容或回退，从而降低因恶意插件更新导致的安全风险。此举是微软对日益增长的软件供应链安全问题的重要响应。

为何重要

• •VS Code作为全球最流行的代码编辑器之一，其安全更新机制将直接影响大量开发者的工作环境安全。
• •两小时缓冲机制为防范供应链攻击（如恶意插件更新）提供了新的防护层，有助于提升整体软件生态安全性。
• •此举可能推动其他IDE和开发工具平台效仿，促使行业强化对第三方插件更新的安全审查流程。
• •该功能体现了对软件供应链攻击高发趋势的及时应对，尤其对依赖大量插件的开发者社区具有实际保护意义。