Dependabot artık üç gün bekliyor: güncelleme hızını tedarik zinciri politikasına çevirin
GitHub artık rutin Dependabot sürüm PR'larını açmadan önce en az üç gün bekliyor. Güvenlik güncellemeleri ise hemen açılmaya devam ediyor.
Ne değişti
Varsayılan github.com'daki desteklenen ekosistemlerde geçerli ve GHES 3.23'e gelecek. cooldown 1–90 gün, SemVer pencereleri ve include/exclude listeleri sunuyor.
Gözlem doğrulama değildir
Bekleme geri çekme, issue ve uyarıların ortaya çıkmasına zaman verir; sessizlik güvenlik kanıtı değildir. Schedule, review, CI ve deploy farklı saatlerdir.
PR ve kurulumu ayırın
Dependabot yalnızca PR oluşturma zamanını kontrol eder. Manuel kurulumlar ve diğer resolver'lar engellenmez. npm min-release-age sağlar; lockfile ve npm ci onaylı ağacı üretir.
Pratik işletim
Dependency Review doğrudan ve transitif değişiklikleri incelemeli. Runtime, araçlar, GitHub Actions, container ve IaC için etki alanına göre farklı gate kullanın.
Riskler
Cooldown PR sayısını otomatik azaltmaz ve acil bir normal düzeltmeyi geciktirebilir. Grouping, süreli istisna, canary ve rollback gerekir.
Kontrol listesi
✓dependabot.yml envanteri çıkarın
✓Sürüm ve güvenlik SLA'larını ayırın
✓Dependency Review zorunlu olsun
✓Lockfile ve frozen install kullanın
✓İstisnalara sahip ve son tarih verin
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Kaynaklar
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion