Dependabot agora espera três dias: transforme velocidade de atualização em política de supply chain
O GitHub agora espera pelo menos três dias antes de abrir PRs rotineiros de versão pelo Dependabot. Atualizações de segurança continuam imediatas.
O que mudou
O padrão vale nos ecossistemas suportados do github.com e chegará ao GHES 3.23. cooldown aceita 1–90 dias, janelas SemVer e listas include/exclude.
Observar não é validar
A espera permite que retiradas, issues e alertas apareçam, mas silêncio não prova segurança. Agenda do bot, review, CI e deploy também alteram o lead time.
Separar PR e instalação
Dependabot só decide quando criar o PR. Instalações manuais e outros resolvers ficam fora. No npm, min-release-age atua na resolução; lockfile e npm ci reproduzem a árvore aprovada.
Operação prática
Dependency Review deve cobrir mudanças diretas e transitivas. Separe gates para runtime, ferramentas, GitHub Actions, containers e IaC conforme o impacto.
Riscos
O cooldown pode atrasar PRs sem reduzir o volume e pode segurar um fix urgente não classificado como segurança. Use grouping, exceção com prazo, canary e rollback.
Checklist
✓Inventariar dependabot.yml
✓Separar SLA de versão e segurança
✓Exigir Dependency Review
✓Usar lockfile e frozen install
✓Dar responsável e validade às exceções
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Fontes
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion