VS Code начал задерживать автообновления расширений на два часа. Фича приехала в версии...
VS Code начал задерживать автообновления расширений на два часа. Фича приехала в версии 1.123: когда автор публикует новую версию расширения, ваш редактор поставит её не сразу, а через два часа после публикации. Зачем: это защита от атак на цепочку поставок. Когда у издателя угоняют аккаунт и заливают вредоносную версию, главный урон приходится на первые часы, пока маркетплейс не снял её с раздачи. Двухчасовая пауза сокращает окно, в которое заражённое обновление успевает разлететься по машинам. В карточке расширения теперь видно, почему обновление ещё не установилось и когда оно произойдёт; вручную обновиться кнопкой Update можно в любой момент. Любопытная деталь: задержка действует не для всех. Расширения от Microsoft, GitHub и OpenAI обновляются сразу, без паузы. Получается двухуровневая система доверия: свои и партнёрские — мгновенно, сторонние — через карантин. VS Code здесь догоняет пакетные менеджеры, у которых такой карантин уже стал нормой: minimumReleaseAge в Bun и pnpm, min-release-age в npm 11.10+, npmMinimalAgeGate в Yarn Berry, cooldown в Bundler. @prog_tools