Dependabot aspetta tre giorni: la velocità degli aggiornamenti diventa una policy di supply chain
GitHub ora attende almeno tre giorni prima di aprire una PR Dependabot di aggiornamento ordinario. Gli aggiornamenti di sicurezza restano immediati.
Cosa cambia
Il default copre gli ecosistemi supportati su github.com e arriverà in GHES 3.23. cooldown consente 1–90 giorni, finestre SemVer e liste include/exclude.
Osservare non significa validare
L'attesa lascia emergere ritiri, issue e avvisi, ma il silenzio non prova sicurezza. Schedule, review, CI e deploy determinano il lead time reale.
Separare PR e installazione
Dependabot controlla solo la creazione della PR. Installazioni manuali o altri resolver restano fuori. npm offre min-release-age; lockfile e npm ci riproducono l'albero approvato.
Gestione pratica
Dependency Review deve coprire modifiche dirette e transitive. Runtime, tool, GitHub Actions, container e IaC richiedono gate diversi in base al raggio d'impatto.
Rischi
Il cooldown può ritardare le PR senza ridurne il numero e non identifica da solo una release malevola. Servono grouping, eccezioni con scadenza, canary e rollback.
Checklist
✓Censire le configurazioni
✓Separare SLA versione e sicurezza
✓Rendere obbligatoria Dependency Review
✓Usare lockfile e installazione frozen
✓Assegnare owner e scadenza alle eccezioni
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Fonti
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion