VS Code 推出扩展更新延迟安全机制微软旗下流行的集成开发环境 VS Code 从版本 1.123 开始推出新安全机制扩展程序发布后将自动延迟 2 小时才进行更新。当用户启用自动更新功能VS Code 扩展商店中的扩展新版本发布后会等待 2 小时才被 IDE 自动推送更新。更新背后应对软件供应链攻击痛点近年来软件供应链攻击急剧增加攻击者通过入侵开源生态中的第三方依赖向更广泛的下游开发者传播恶意代码。由于开发者普遍信任常用开发工具的更新提示这类攻击成功率极高。VS Code 扩展生态市占率极高大量开发者依赖扩展管理工作流且扩展具备执行任意代码的权限恶意扩展危害极大。微软此举旨在为“问题版本或可能被入侵的版本”添加安全缓冲。分层设计兼顾安全与体验2 小时的延迟不适用于来自受信任发布者的扩展如微软、GitHub、OpenAI 等厂商的扩展仍可即时更新。这是因为大多数有问题的扩展更新来自第三方未知来源而头部厂商的扩展通常已经过严格的安全审核这种分层设计兼顾了安全防御与开发者体验。行业趋势多家包管理器引入延迟机制2024 年至 2025 年间多个主要包管理器已相继引入类似的延迟机制。RubyGems 在 Bundler 4.0.13 中新增可选的安装冷却功能Bun、pnpm、npm 和 Yarn 也都加入了 minimumReleaseAge 参数要求新发布的包版本满足最小发布时长才能被安装目标都是缩短恶意包在发布后、安装前的可操作窗口。未来挑战与商业化看点未来VS Code 需持续优化该安全机制平衡安全与开发者体验。在商业化方面安全功能的增强可能吸引更多企业用户提升产品竞争力。但也需警惕安全机制可能带来的性能损耗等问题。编辑观点VS Code 此次更新是应对安全威胁的积极举措分层设计较为合理有望提升其安全性和市场竞争力。