Dependabot attend trois jours : transformer la vitesse des mises à jour en politique de supply chain

Dev

GitHub attend désormais au moins trois jours avant d'ouvrir une PR Dependabot de mise à jour courante. Les mises à jour de sécurité restent immédiates.

Schéma reliant publication, fenêtre d'observation, PR Dependabot, revue des dépendances, installation figée et déploiement
Le délai fournit du temps d'observation, pas une preuve de sûreté.

Ce qui change

La valeur par défaut s'applique aux écosystèmes pris en charge sur github.com et arrivera avec GHES 3.23. cooldown accepte 1 à 90 jours, des délais SemVer et des listes include/exclude.

Observer n'est pas valider

Trois jours laissent apparaître retraits, issues ou alertes, mais le silence ne prouve rien. Le calendrier du bot, la revue, la CI et le déploiement prolongent aussi le délai réel.

Séparer PR et installation

Dependabot ne contrôle que la création de la PR. Une installation manuelle ou un autre résolveur échappe à cette règle. npm propose min-release-age ; lockfile et npm ci reproduisent ensuite l'arbre approuvé.

Mise en pratique

Dependency Review doit couvrir les changements directs et transitifs. Séparez les règles pour runtime, outils, GitHub Actions, conteneurs et IaC selon leur rayon d'impact.

Limites

Le délai ne réduit pas forcément le nombre de PR et peut retarder un correctif urgent non classé sécurité. Groupes, exception expirante, canary et rollback restent indispensables.

Checklist

Recenser les configurations

Séparer les SLA version et sécurité

Rendre Dependency Review obligatoire

Imposer lockfile et installation figée

Donner un propriétaire et une expiration aux exceptions

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Sources