导读：软件供应链攻击风险持续升高，微软调整VS Code扩充插件自动更新机制，一般扩展插件将延后2小时再执行更新，降低恶意或异常版本影响开发环境的风险。

微软在6月3日发布整合式开发环境Visual Studio Code（VS Code）1.123版，新增扩展插件自动更新延迟机制（Delayed extension auto-updates），一般扩展插件新版本发布后，VS Code将延后2小时再自动安装新版扩充套件，降低恶意或异常版本影响开发环境的风险。

根据微软的说明，这项机制是防范软件供应链风险的额外保护或缓冲，适用于一般扩充套件发布流程。

该配置在settings.json文件中。

{"extensions.autoUpdate":true,"extensions.minimumReleaseAge":2,"security.workspace.trust.enabled":true}

此外来自微软、GitHub、OpenAI等受信任的大公司发布者的扩展插件，仍然会维持立即更新。

使用者若有立即更新需求，也可前往扩展插件页面，手动安装最新版本。

安全媒体The Hacker News 指出，这类提供“冷却期（cooldown）”缓冲的延迟更新机制，已逐渐成为开源插件与开发工具生态系因应供应链攻击风险的措施之一。

包括RubyGems生态的Bundler、Bun、NPM、pnpm与Yarn，都已陆续加入类似的延迟更新机制。其目的在于防范潜在恶意或异常版本上架后、遭标记为恶意并由扩展库维护者下架前的安全空窗期，借此降低开发者环境及下游使用者（downstream users）受到波及的风险。

作者：场长

参考：

https://thehackernews.com/2026/06/vs-code-adds-2-hour-extension-auto.html