Dependabot รอแพ็กเกจใหม่ 3 วัน: เปลี่ยนความเร็วอัปเดตให้เป็นนโยบาย supply chain
GitHub เปลี่ยนค่าเริ่มต้นให้ Dependabot รออย่างน้อย 3 วันก่อนเปิด PR อัปเดตรุ่นทั่วไป ส่วน security update ยังเปิดทันที
สิ่งที่เปลี่ยน
ค่าเริ่มต้นใช้กับ ecosystem ที่รองรับบน github.com และจะเข้า GHES 3.23 ตัวเลือก cooldown ตั้งได้ 1–90 วัน แยก SemVer และใช้ include/exclude ได้
สังเกตไม่เท่ากับยืนยัน
ช่วงรอช่วยให้การถอนรุ่น issue หรือคำเตือนปรากฏ แต่ความเงียบไม่ใช่หลักฐานว่าปลอดภัย schedule, review, CI และ deploy เป็นคนละนาฬิกา
แยก PR กับการติดตั้ง
Dependabot ควบคุมเฉพาะเวลาเปิด PR การติดตั้งด้วยมือหรือ resolver อื่นไม่ถูกบล็อก npm มี min-release-age และ lockfile กับ npm ci ช่วยตรึง tree ที่อนุมัติแล้ว
แนวทางใช้งาน
ใช้ Dependency Review ตรวจทั้ง direct และ transitive change แยก gate สำหรับ runtime, dev tool, GitHub Actions, container และ IaC ตามผลกระทบ
ความเสี่ยง
cooldown อาจเพียงทำให้ PR มาช้าลงโดยไม่ลดจำนวน และอาจชะลอ fix ด่วนที่ไม่ถูกจัดเป็น security จึงต้องมี grouping, exception หมดอายุ, canary และ rollback
เช็กลิสต์
✓สำรวจ dependabot.yml
✓แยก SLA รุ่นทั่วไปกับ security
✓บังคับ Dependency Review
✓ใช้ lockfile และ frozen install
✓กำหนดเจ้าของและวันหมดอายุของข้อยกเว้น
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
แหล่งข้อมูล
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion