أعلنت شركة مايكروسوفت عن خطوة أمنية جديدة في محررها الشهير Visual Studio Code (VS Code)، حيث ستقوم بفرض تأخير مدته ساعتان قبل أن تُطبّق التحديثات التلقائية على الإضافات (Extensions). هذه الخطوة تأتي في إطار مواجهة التهديدات المتزايدة المرتبطة بهجمات سلاسل التوريد التي تستهدف المطورين عبر نشر إصدارات خبيثة من الإضافات.
وفقًا لبيان الشركة، فإن التحديثات التلقائية ستُنفّذ بعد ساعتين من نشر الإصدار الجديد، مما يمنح فرق الأمن والمطورين فرصة إضافية لاكتشاف أي ثغرات أو محتوى ضار قبل أن يصل إلى المستخدمين. الميزة الجديدة متاحة بدءًا من الإصدار 1.123 من VS Code.
خلفية أمنية: تصاعد هجمات سلاسل التوريد
شهد العام الماضي تصاعدًا ملحوظًا في هجمات سلاسل التوريد البرمجية، حيث استغل المهاجمون ثقة المطورين في منصات التوزيع الرسمية لنشر برمجيات خبيثة. هذه الهجمات غالبًا ما تبدأ عبر إدخال كود ضار في مكتبات أو إضافات شائعة، ثم تنتشر بسرعة إلى أنظمة المطورين والمستخدمين النهائيين.
من أبرز الأمثلة على ذلك، حملات استهداف منصات npm وNuGet وRubyGems، حيث تمكن المهاجمون من نشر إصدارات مزيفة تحمل برمجيات خبيثة، قبل أن يتم اكتشافها وإزالتها. هذه الحوادث دفعت الشركات الكبرى إلى إعادة التفكير في آليات التوزيع والتحديث التلقائي.
مقارنة مع أنظمة أخرى: تبني التأخير الزمني
مايكروسوفت ليست الشركة الوحيدة التي اتجهت إلى تطبيق آلية التأخير الزمني في التحديثات. فقد أضافت منصة RubyGems مؤخرًا ميزة اختيارية في Bundler 4.0.13 تسمح للمطورين بتأخير تثبيت الإصدارات الجديدة لفترة محددة مسبقًا. الهدف من هذه الخطوة هو تقليل احتمالية التعرض لإصدارات خبيثة فور نشرها.
كما تبنت أنظمة أخرى مثل Bun وnpm وpnpm وYarn آليات مشابهة، حيث أضافت خاصية “minimumReleaseAge” أو ما يعادلها، لتأخير تثبيت الحزم الجديدة حتى مرور فترة زمنية معينة. هذه الإجراءات تعكس إدراكًا متزايدًا بأن سرعة التوزيع قد تتحول إلى نقطة ضعف إذا لم تُرافقها ضوابط أمنية صارمة.
استثناءات الناشرين الموثوقين
رغم تطبيق التأخير الزمني، أوضحت مايكروسوفت أن الإضافات الصادرة عن ناشرين موثوقين مثل Microsoft وGitHub وOpenAI ستظل تُحدّث فورًا دون تأخير. هذا الاستثناء يعكس الثقة العالية في هذه الجهات، لكنه يثير أيضًا نقاشًا حول ما إذا كان ينبغي تطبيق نفس القواعد على الجميع لضمان العدالة وتقليل المخاطر المحتملة.
من الناحية العملية، يمنح هذا النظام المستخدمين خيارًا مزدوجًا: إما انتظار التحديث التلقائي بعد ساعتين، أو القيام بالتحديث يدويًا فور صدور النسخة الجديدة عبر زر “Update”. هذه المرونة تتيح للمطورين التحكم في بيئة عملهم، مع الحفاظ على طبقة إضافية من الحماية ضد الهجمات المفاجئة.
