Dependabot kini menunggu tiga hari: jadikan kecepatan update sebagai kebijakan supply chain
GitHub kini menunggu minimal tiga hari sebelum Dependabot membuka PR pembaruan versi rutin. Pembaruan keamanan tetap dibuat segera.
Perubahan utama
Default berlaku untuk ekosistem yang didukung di github.com dan akan hadir di GHES 3.23. Opsi cooldown mendukung 1–90 hari, aturan SemVer, serta include/exclude.
Observasi bukan verifikasi
Jeda memberi waktu bagi penarikan rilis, issue, atau peringatan. Namun tidak adanya sinyal bukan bukti aman; jadwal bot, review, CI, dan deployment juga punya waktu sendiri.
Pisahkan PR dan instalasi
Dependabot hanya mengatur kapan PR dibuat. Instalasi manual dan resolver lain tidak otomatis diblokir. npm memiliki min-release-age, sedangkan lockfile dan npm ci menjaga tree yang sudah disetujui.
Operasi praktis
Dependency Review perlu memeriksa dependency langsung dan transitif. Bedakan gate untuk runtime, dev tool, GitHub Actions, container, dan IaC berdasarkan dampaknya.
Risiko
Cooldown tidak selalu mengurangi jumlah PR dan dapat menunda perbaikan non-security yang mendesak. Gunakan grouping, pengecualian berakhir, canary, dan rollback.
Checklist
✓Inventarisasi dependabot.yml
✓Pisahkan SLA versi dan keamanan
✓Wajibkan Dependency Review
✓Gunakan lockfile dan frozen install
✓Beri pemilik dan masa berlaku pada pengecualian
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Sumber
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion