Dependabot kini menunggu tiga hari: jadikan kecepatan update sebagai kebijakan supply chain

Dev

GitHub kini menunggu minimal tiga hari sebelum Dependabot membuka PR pembaruan versi rutin. Pembaruan keamanan tetap dibuat segera.

Diagram rilis paket, jendela observasi tiga hari, PR Dependabot, dependency review, instalasi beku, dan deployment
Cooldown adalah waktu untuk mengamati, bukan sertifikat keamanan.

Perubahan utama

Default berlaku untuk ekosistem yang didukung di github.com dan akan hadir di GHES 3.23. Opsi cooldown mendukung 1–90 hari, aturan SemVer, serta include/exclude.

Observasi bukan verifikasi

Jeda memberi waktu bagi penarikan rilis, issue, atau peringatan. Namun tidak adanya sinyal bukan bukti aman; jadwal bot, review, CI, dan deployment juga punya waktu sendiri.

Pisahkan PR dan instalasi

Dependabot hanya mengatur kapan PR dibuat. Instalasi manual dan resolver lain tidak otomatis diblokir. npm memiliki min-release-age, sedangkan lockfile dan npm ci menjaga tree yang sudah disetujui.

Operasi praktis

Dependency Review perlu memeriksa dependency langsung dan transitif. Bedakan gate untuk runtime, dev tool, GitHub Actions, container, dan IaC berdasarkan dampaknya.

Risiko

Cooldown tidak selalu mengurangi jumlah PR dan dapat menunda perbaikan non-security yang mendesak. Gunakan grouping, pengecualian berakhir, canary, dan rollback.

Checklist

Inventarisasi dependabot.yml

Pisahkan SLA versi dan keamanan

Wajibkan Dependency Review

Gunakan lockfile dan frozen install

Beri pemilik dan masa berlaku pada pengecualian

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Sumber