Dependabot が新規リリースを3日待つ:更新速度をサプライチェーン方針に変える
GitHub は通常の Dependabot version update PR を、レジストリ公開から最低3日待って作成する既定動作に変更した。security update は引き続き即時だ。
何が変わったか
github.com の対応エコシステムに設定なしで適用され、GHES 3.23 にも導入予定。cooldown では1〜90日、SemVer別期間、include/exclude を指定できる。
観測は検証ではない
撤回、issue、警告が表面化する時間は増えるが、静かな3日間は安全の証拠ではない。bot の schedule、review、CI、deploy も別の時計として扱う。
PR と install policy を分ける
この機能が制御するのは Dependabot PR の生成だけだ。手動 install や別 resolver は止めない。npm の min-release-age、lockfile、npm ci で install 層を補う。
実務での運用
Dependency Review で direct/transitive の差分と既知脆弱性を確認する。runtime、開発ツール、GitHub Actions、container、IaC は影響範囲に応じて gate を分ける。
リスク
PR 数が自動で減るとは限らず、緊急の非 security fix が遅れる場合もある。grouping、期限付き例外、canary、rollback が必要だ。
実務チェック
✓dependabot.yml を棚卸し
✓version と security の SLA を分離
✓Dependency Review を必須化
✓lockfile と frozen install を利用
✓例外に owner と期限を付与
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
出典
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion