Dependabot attend trois jours : transformer la vitesse des mises à jour en politique de supply chain
GitHub attend désormais au moins trois jours avant d'ouvrir une PR Dependabot de mise à jour courante. Les mises à jour de sécurité restent immédiates.
Ce qui change
La valeur par défaut s'applique aux écosystèmes pris en charge sur github.com et arrivera avec GHES 3.23. cooldown accepte 1 à 90 jours, des délais SemVer et des listes include/exclude.
Observer n'est pas valider
Trois jours laissent apparaître retraits, issues ou alertes, mais le silence ne prouve rien. Le calendrier du bot, la revue, la CI et le déploiement prolongent aussi le délai réel.
Séparer PR et installation
Dependabot ne contrôle que la création de la PR. Une installation manuelle ou un autre résolveur échappe à cette règle. npm propose min-release-age ; lockfile et npm ci reproduisent ensuite l'arbre approuvé.
Mise en pratique
Dependency Review doit couvrir les changements directs et transitifs. Séparez les règles pour runtime, outils, GitHub Actions, conteneurs et IaC selon leur rayon d'impact.
Limites
Le délai ne réduit pas forcément le nombre de PR et peut retarder un correctif urgent non classé sécurité. Groupes, exception expirante, canary et rollback restent indispensables.
Checklist
✓Recenser les configurations
✓Séparer les SLA version et sécurité
✓Rendre Dependency Review obligatoire
✓Imposer lockfile et installation figée
✓Donner un propriétaire et une expiration aux exceptions
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Sources
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion