Dependabot теперь ждёт три дня: скорость обновлений становится политикой supply chain
GitHub теперь по умолчанию ждёт минимум три дня перед созданием обычного Dependabot PR. Security updates по-прежнему создаются сразу.
Что изменилось
Правило действует для поддерживаемых экосистем на github.com и появится в GHES 3.23. cooldown позволяет задать 1–90 дней, интервалы SemVer и include/exclude.
Наблюдение не равно проверке
Пауза даёт время для отзыва релиза, issue и предупреждений, но тишина не подтверждает безопасность. Schedule, review, CI и deployment образуют отдельные часы.
Разделите PR и установку
Dependabot управляет только моментом создания PR. Ручная установка и другие resolver не блокируются. npm предлагает min-release-age, а lockfile и npm ci воспроизводят проверенное дерево.
Практическая эксплуатация
Dependency Review должен проверять прямые и транзитивные изменения. Для runtime, инструментов, GitHub Actions, контейнеров и IaC нужны разные gates.
Риски
Cooldown не обязательно уменьшает число PR и может задержать срочное обычное исправление. Нужны grouping, исключения со сроком, canary и rollback.
Чек-лист
✓Провести инвентаризацию dependabot.yml
✓Разделить SLA version и security
✓Сделать Dependency Review обязательным
✓Использовать lockfile и frozen install
✓Назначить владельца и срок исключения
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Источники
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion