Dependabot artık üç gün bekliyor: güncelleme hızını tedarik zinciri politikasına çevirin

Dev

GitHub artık rutin Dependabot sürüm PR'larını açmadan önce en az üç gün bekliyor. Güvenlik güncellemeleri ise hemen açılmaya devam ediyor.

Paket yayınından gözlem penceresi, Dependabot PR, bağımlılık incelemesi, donmuş kurulum ve deploy akışı
Üç gün bir gözlem penceresidir; güvenlik sertifikası değildir.

Ne değişti

Varsayılan github.com'daki desteklenen ekosistemlerde geçerli ve GHES 3.23'e gelecek. cooldown 1–90 gün, SemVer pencereleri ve include/exclude listeleri sunuyor.

Gözlem doğrulama değildir

Bekleme geri çekme, issue ve uyarıların ortaya çıkmasına zaman verir; sessizlik güvenlik kanıtı değildir. Schedule, review, CI ve deploy farklı saatlerdir.

PR ve kurulumu ayırın

Dependabot yalnızca PR oluşturma zamanını kontrol eder. Manuel kurulumlar ve diğer resolver'lar engellenmez. npm min-release-age sağlar; lockfile ve npm ci onaylı ağacı üretir.

Pratik işletim

Dependency Review doğrudan ve transitif değişiklikleri incelemeli. Runtime, araçlar, GitHub Actions, container ve IaC için etki alanına göre farklı gate kullanın.

Riskler

Cooldown PR sayısını otomatik azaltmaz ve acil bir normal düzeltmeyi geciktirebilir. Grouping, süreli istisna, canary ve rollback gerekir.

Kontrol listesi

dependabot.yml envanteri çıkarın

Sürüm ve güvenlik SLA'larını ayırın

Dependency Review zorunlu olsun

Lockfile ve frozen install kullanın

İstisnalara sahip ve son tarih verin

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Kaynaklar