VS Code 1.123, Supply Chain Attack 방지를 위한 2시간 Auto-update 지연 도입

VS Code 1.123 Adds Two-Hour Extension Update Delay to Limit Supply Chain Attacks

Steef-Jan Wiggers2026년 6월 18일3분intermediate

AI 요약

Context

Extension Maintainer 계정 탈취를 통한 악성 업데이트 배포 시 수백만 명의 개발자에게 즉각 전파되는 구조적 취약점 존재. 기존의 즉시 업데이트 방식은 악성 코드 탐지 및 배포 중단 골든타임 확보가 불가능한 한계점을 가짐.

Technical Solution

신규 버전 발행 후 2시간의 Cooldown Period를 설정하여 자동 업데이트 실행 시점을 강제 지연하는 로직 구현
자동 스캐너의 악성 코드 탐지 및 관리자의 Release Pull-back 조치를 위한 최소한의 시간 윈도우 확보
사용자 편의성을 위해 수동 업데이트(Manual Update) 버튼을 통한 즉시 설치 경로 유지
Microsoft, GitHub, OpenAI 등 Trusted Publisher에 한해 지연 시간을 제외하는 예외 처리 로직 적용
외부 패키지 생태계(Pip, npm, RubyGems)의 Minimum Release Age 설정 개념을 IDE Extension 레이어에 이식

실천 포인트

- 외부 의존성 라이브러리 업데이트 시 최소 2일 이상의 Cooldown Period 설정 검토 - High-value Target이 되는 신뢰된 공급자(Trusted Publisher)에 대한 별도의 무결성 검증 프로세스 수립 - 전체 배포 전 일부 사용자에게만 업데이트를 적용하는 Staged Rollout 전략 도입 고려 - 자동화된 보안 스캐너의 탐지 결과가 실제 배포 차단으로 이어지는 파이프라인 연동 확인

태그

#Supply Chain Attack #Security Scanner #Auto-update #Cooldown Period #Staged Rollout

원문 읽기