Dependabot теперь ждёт три дня: скорость обновлений становится политикой supply chain

Dev

GitHub теперь по умолчанию ждёт минимум три дня перед созданием обычного Dependabot PR. Security updates по-прежнему создаются сразу.

Схема от выпуска пакета через окно наблюдения и PR Dependabot к проверке, фиксированной установке и deployment
Три дня дают время для сигналов, но не доказывают безопасность.

Что изменилось

Правило действует для поддерживаемых экосистем на github.com и появится в GHES 3.23. cooldown позволяет задать 1–90 дней, интервалы SemVer и include/exclude.

Наблюдение не равно проверке

Пауза даёт время для отзыва релиза, issue и предупреждений, но тишина не подтверждает безопасность. Schedule, review, CI и deployment образуют отдельные часы.

Разделите PR и установку

Dependabot управляет только моментом создания PR. Ручная установка и другие resolver не блокируются. npm предлагает min-release-age, а lockfile и npm ci воспроизводят проверенное дерево.

Практическая эксплуатация

Dependency Review должен проверять прямые и транзитивные изменения. Для runtime, инструментов, GitHub Actions, контейнеров и IaC нужны разные gates.

Риски

Cooldown не обязательно уменьшает число PR и может задержать срочное обычное исправление. Нужны grouping, исключения со сроком, canary и rollback.

Чек-лист

Провести инвентаризацию dependabot.yml

Разделить SLA version и security

Сделать Dependency Review обязательным

Использовать lockfile и frozen install

Назначить владельца и срок исключения

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Источники

다른 글