Dependabot wartet jetzt drei Tage: Aus Update-Tempo wird Lieferketten-Politik

Dev

GitHub wartet bei regulären Dependabot-Versionsupdates jetzt standardmäßig mindestens drei Tage nach Veröffentlichung. Sicherheitsupdates bleiben sofort. Entscheidend ist, diese Wartezeit mit Prüfung und reproduzierbarer Installation zu verbinden.

Diagramm vom Paket-Release über drei Tage Beobachtung, Update-PR, Dependency Review und reproduzierbare Installation bis zum Deployment
Der Cooldown ist ein Beobachtungsfenster, kein Sicherheitszertifikat.

Was sich geändert hat

Die Vorgabe gilt ohne Konfiguration für unterstützte Ökosysteme auf github.com und später ab GHES 3.23. Über cooldown lassen sich 1 bis 90 Tage, SemVer-Stufen sowie Include- und Exclude-Listen festlegen.

Beobachten ist nicht verifizieren

Drei Tage geben Zeit für Rücknahmen, Issues und Warnungen. Stille beweist jedoch keine Sicherheit. Auch Zeitplan, Review, CI und Deployment verlängern den tatsächlichen Weg in die Produktion.

PR-Regel und Installationsregel trennen

Dependabot steuert nur die Erstellung des Versions-PRs. Manuelle Installationen oder andere Resolver werden nicht blockiert. npm bietet dafür min-release-age; ein Lockfile plus npm ci reproduziert den geprüften Baum.

Praktischer Betrieb

Dependency Review sollte direkte und transitive Änderungen, Veröffentlichungsalter und bekannte Schwachstellen prüfen. Regeln nach Auswirkungsradius trennen: Runtime, Dev-Tools, Actions, Container und IaC benötigen unterschiedliche Freigaben.

Risiken

Der Standard reduziert nicht automatisch die Zahl der PRs und kann dringende, nicht als Security Update markierte Fixes verzögern. Gruppen, Ausnahmeprozess, Canary und Rollback bleiben nötig.

Checkliste

Dependabot-Konfigurationen inventarisieren

SLAs für Versions- und Security-Updates trennen

Dependency Review als Gate nutzen

Lockfiles und frozen installs erzwingen

Jede Ausnahme mit Owner und Ablaufdatum versehen

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Quellen