Dependabot が新規リリースを3日待つ:更新速度をサプライチェーン方針に変える

Dev

GitHub は通常の Dependabot version update PR を、レジストリ公開から最低3日待って作成する既定動作に変更した。security update は引き続き即時だ。

パッケージ公開、3日の観測期間、Dependabot PR、依存関係レビュー、固定インストール、デプロイを結ぶ図
3日は観測期間であり、安全証明ではない。

何が変わったか

github.com の対応エコシステムに設定なしで適用され、GHES 3.23 にも導入予定。cooldown では1〜90日、SemVer別期間、include/exclude を指定できる。

観測は検証ではない

撤回、issue、警告が表面化する時間は増えるが、静かな3日間は安全の証拠ではない。bot の schedule、review、CI、deploy も別の時計として扱う。

PR と install policy を分ける

この機能が制御するのは Dependabot PR の生成だけだ。手動 install や別 resolver は止めない。npm の min-release-age、lockfile、npm ci で install 層を補う。

実務での運用

Dependency Review で direct/transitive の差分と既知脆弱性を確認する。runtime、開発ツール、GitHub Actions、container、IaC は影響範囲に応じて gate を分ける。

リスク

PR 数が自動で減るとは限らず、緊急の非 security fix が遅れる場合もある。grouping、期限付き例外、canary、rollback が必要だ。

実務チェック

dependabot.yml を棚卸し

version と security の SLA を分離

Dependency Review を必須化

lockfile と frozen install を利用

例外に owner と期限を付与

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

出典