Dependabot wartet jetzt drei Tage: Aus Update-Tempo wird Lieferketten-Politik
GitHub wartet bei regulären Dependabot-Versionsupdates jetzt standardmäßig mindestens drei Tage nach Veröffentlichung. Sicherheitsupdates bleiben sofort. Entscheidend ist, diese Wartezeit mit Prüfung und reproduzierbarer Installation zu verbinden.
Was sich geändert hat
Die Vorgabe gilt ohne Konfiguration für unterstützte Ökosysteme auf github.com und später ab GHES 3.23. Über cooldown lassen sich 1 bis 90 Tage, SemVer-Stufen sowie Include- und Exclude-Listen festlegen.
Beobachten ist nicht verifizieren
Drei Tage geben Zeit für Rücknahmen, Issues und Warnungen. Stille beweist jedoch keine Sicherheit. Auch Zeitplan, Review, CI und Deployment verlängern den tatsächlichen Weg in die Produktion.
PR-Regel und Installationsregel trennen
Dependabot steuert nur die Erstellung des Versions-PRs. Manuelle Installationen oder andere Resolver werden nicht blockiert. npm bietet dafür min-release-age; ein Lockfile plus npm ci reproduziert den geprüften Baum.
Praktischer Betrieb
Dependency Review sollte direkte und transitive Änderungen, Veröffentlichungsalter und bekannte Schwachstellen prüfen. Regeln nach Auswirkungsradius trennen: Runtime, Dev-Tools, Actions, Container und IaC benötigen unterschiedliche Freigaben.
Risiken
Der Standard reduziert nicht automatisch die Zahl der PRs und kann dringende, nicht als Security Update markierte Fixes verzögern. Gruppen, Ausnahmeprozess, Canary und Rollback bleiben nötig.
Checkliste
✓Dependabot-Konfigurationen inventarisieren
✓SLAs für Versions- und Security-Updates trennen
✓Dependency Review als Gate nutzen
✓Lockfiles und frozen installs erzwingen
✓Jede Ausnahme mit Owner und Ablaufdatum versehen
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Quellen
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion