Dependabot agora espera três dias: transforme velocidade de atualização em política de supply chain

Dev

O GitHub agora espera pelo menos três dias antes de abrir PRs rotineiros de versão pelo Dependabot. Atualizações de segurança continuam imediatas.

Diagrama entre lançamento, janela de observação, PR do Dependabot, revisão, instalação congelada e deploy
Três dias criam tempo para sinais; não certificam segurança.

O que mudou

O padrão vale nos ecossistemas suportados do github.com e chegará ao GHES 3.23. cooldown aceita 1–90 dias, janelas SemVer e listas include/exclude.

Observar não é validar

A espera permite que retiradas, issues e alertas apareçam, mas silêncio não prova segurança. Agenda do bot, review, CI e deploy também alteram o lead time.

Separar PR e instalação

Dependabot só decide quando criar o PR. Instalações manuais e outros resolvers ficam fora. No npm, min-release-age atua na resolução; lockfile e npm ci reproduzem a árvore aprovada.

Operação prática

Dependency Review deve cobrir mudanças diretas e transitivas. Separe gates para runtime, ferramentas, GitHub Actions, containers e IaC conforme o impacto.

Riscos

O cooldown pode atrasar PRs sem reduzir o volume e pode segurar um fix urgente não classificado como segurança. Use grouping, exceção com prazo, canary e rollback.

Checklist

Inventariar dependabot.yml

Separar SLA de versão e segurança

Exigir Dependency Review

Usar lockfile e frozen install

Dar responsável e validade às exceções

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Fontes