VS Code, 공급망 공격 방지를 위해 확장 자동 업데이트를 2시간 지연시켜.
Source: The Hacker News
Ravie Lakshmanan2026년 6월 8일 · 소프트웨어 공급망 / 악성코드
Microsoft는 통합 개발 환경(IDE)용 확장 프로그램이 새 버전으로 자동 업데이트되는 데 두 시간 지연을 적용한다는 소식을 발표했습니다. 이는 소프트웨어 공급망 위협에 대응하기 위한 조치입니다.
“자동 업데이트가 활성화된 경우, 새 버전은 게시된 후 두 시간 뒤에 자동으로 업데이트됩니다. 이는 문제를 일으키거나 잠재적으로 손상된 릴리스를 방어하는 추가적인 보호 층을 제공합니다.”라고 Microsoft는 말했습니다.
이 새로운 기능은 VS Code 1.123부터 사용할 수 있습니다.
Microsoft는 사용자가 언제든지 “Update”(업데이트) 버튼을 눌러 확장 프로그램을 즉시 업데이트할 수 있는 옵션을 여전히 제공한다고 밝혔습니다. 확장 프로그램에 보류 중인 업데이트가 있을 경우, 아직 업데이트되지 않은 이유와 자동 업데이트가 언제 진행될지에 대한 정보가 상세 보기에서 확인할 수 있습니다.
다만, Microsoft, GitHub, OpenAI와 같이 신뢰할 수 있는 게시자의 확장 프로그램에는 이 두 시간 지연이 적용되지 않으며, 해당 게시자의 확장 프로그램은 즉시 업데이트됩니다.
이번 개발은 RubyGems가 **Bundler 4.0.13에 선택적 쿨다운 기능**을 추가한 지 며칠 만에 이루어졌습니다. 이 기능은 새로 게시된 gem 버전의 설치를 사전에 정의된 기간 동안 지연시킵니다.
구체적으로, 이 기능을 통해 개발자는 Bundler에 시간 기반 설치 지연을 설정하여 새로 게시된 악성 버전으로 인한 잠재적 노출을 줄일 수 있습니다.
지난 1년 동안 비슷한 설치 제어 기능이 Bun, pnpm, npm, Yarn에도 추가되었습니다.
- Bun –
minimumReleaseAge(Bun 1.3 이상) - npm –
min-release-age(npm v11.10.0 이상) - pnpm –
minimumReleaseAge(pnpm 10.16 이상) - Yarn –
npmMinimalAgeGate(Yarn Berry 4.10.0 이상)
이러한 변화는 다양한 생태계를 표적으로 하는 소프트웨어 공급망 사고가 급증하고, 개발자 시스템을 침해하고 하위 사용자에게 악성코드를 전파하려는 시도와 맞물려 나타났습니다.
특정 패키지 버전이 설치되기 전에 최소 연령 기준을 적용함으로써, 방어 제어는 악성으로 판명되어 레지스트리 관리자가 차단하기 전까지 확산될 수 있는 시간을 최소화합니다.
이 기사 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우해주세요.