Dependabot aspetta tre giorni: la velocità degli aggiornamenti diventa una policy di supply chain

Dev

GitHub ora attende almeno tre giorni prima di aprire una PR Dependabot di aggiornamento ordinario. Gli aggiornamenti di sicurezza restano immediati.

Diagramma da pubblicazione del pacchetto a osservazione, PR, dependency review, installazione bloccata e deploy
Tre giorni offrono osservazione, non certificano la sicurezza della release.

Cosa cambia

Il default copre gli ecosistemi supportati su github.com e arriverà in GHES 3.23. cooldown consente 1–90 giorni, finestre SemVer e liste include/exclude.

Osservare non significa validare

L'attesa lascia emergere ritiri, issue e avvisi, ma il silenzio non prova sicurezza. Schedule, review, CI e deploy determinano il lead time reale.

Separare PR e installazione

Dependabot controlla solo la creazione della PR. Installazioni manuali o altri resolver restano fuori. npm offre min-release-age; lockfile e npm ci riproducono l'albero approvato.

Gestione pratica

Dependency Review deve coprire modifiche dirette e transitive. Runtime, tool, GitHub Actions, container e IaC richiedono gate diversi in base al raggio d'impatto.

Rischi

Il cooldown può ritardare le PR senza ridurne il numero e non identifica da solo una release malevola. Servono grouping, eccezioni con scadenza, canary e rollback.

Checklist

Censire le configurazioni

Separare SLA versione e sicurezza

Rendere obbligatoria Dependency Review

Usare lockfile e installazione frozen

Assegnare owner e scadenza alle eccezioni

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Fonti