Dependabot รอแพ็กเกจใหม่ 3 วัน: เปลี่ยนความเร็วอัปเดตให้เป็นนโยบาย supply chain

Dev

GitHub เปลี่ยนค่าเริ่มต้นให้ Dependabot รออย่างน้อย 3 วันก่อนเปิด PR อัปเดตรุ่นทั่วไป ส่วน security update ยังเปิดทันที

แผนภาพจากการปล่อยแพ็กเกจ ผ่านช่วงสังเกต 3 วัน PR การตรวจ dependency การติดตั้งแบบตรึง และ deploy
สามวันคือช่วงรอสัญญาณ ไม่ใช่ใบรับรองความปลอดภัย

สิ่งที่เปลี่ยน

ค่าเริ่มต้นใช้กับ ecosystem ที่รองรับบน github.com และจะเข้า GHES 3.23 ตัวเลือก cooldown ตั้งได้ 1–90 วัน แยก SemVer และใช้ include/exclude ได้

สังเกตไม่เท่ากับยืนยัน

ช่วงรอช่วยให้การถอนรุ่น issue หรือคำเตือนปรากฏ แต่ความเงียบไม่ใช่หลักฐานว่าปลอดภัย schedule, review, CI และ deploy เป็นคนละนาฬิกา

แยก PR กับการติดตั้ง

Dependabot ควบคุมเฉพาะเวลาเปิด PR การติดตั้งด้วยมือหรือ resolver อื่นไม่ถูกบล็อก npm มี min-release-age และ lockfile กับ npm ci ช่วยตรึง tree ที่อนุมัติแล้ว

แนวทางใช้งาน

ใช้ Dependency Review ตรวจทั้ง direct และ transitive change แยก gate สำหรับ runtime, dev tool, GitHub Actions, container และ IaC ตามผลกระทบ

ความเสี่ยง

cooldown อาจเพียงทำให้ PR มาช้าลงโดยไม่ลดจำนวน และอาจชะลอ fix ด่วนที่ไม่ถูกจัดเป็น security จึงต้องมี grouping, exception หมดอายุ, canary และ rollback

เช็กลิสต์

สำรวจ dependabot.yml

แยก SLA รุ่นทั่วไปกับ security

บังคับ Dependency Review

ใช้ lockfile และ frozen install

กำหนดเจ้าของและวันหมดอายุของข้อยกเว้น

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

แหล่งข้อมูล

다른 글