Dependabot giờ chờ ba ngày: biến tốc độ cập nhật thành chính sách chuỗi cung ứng

Dev

GitHub hiện chờ ít nhất ba ngày trước khi mở PR cập nhật phiên bản Dependabot thông thường. Cập nhật bảo mật vẫn được mở ngay.

Sơ đồ từ lúc phát hành gói qua ba ngày quan sát, PR Dependabot, review, cài đặt đóng băng và triển khai
Ba ngày tạo thời gian quan sát, không chứng minh bản phát hành an toàn.

Điều gì thay đổi

Mặc định áp dụng cho hệ sinh thái được hỗ trợ trên github.com và sẽ có trong GHES 3.23. cooldown cho phép 1–90 ngày, cửa sổ SemVer và include/exclude.

Quan sát không phải xác minh

Khoảng chờ giúp việc thu hồi, issue hoặc cảnh báo có thời gian xuất hiện, nhưng im lặng không chứng minh an toàn. Schedule, review, CI và deploy là các đồng hồ riêng.

Tách PR và cài đặt

Dependabot chỉ quyết định lúc tạo PR. Cài thủ công hoặc resolver khác không bị chặn. npm có min-release-age; lockfile và npm ci tái tạo cây đã duyệt.

Vận hành thực tế

Dependency Review cần xem cả thay đổi trực tiếp và bắc cầu. Tách gate cho runtime, công cụ, GitHub Actions, container và IaC theo phạm vi ảnh hưởng.

Rủi ro

Cooldown có thể chỉ làm PR đến muộn mà không giảm số lượng, đồng thời trì hoãn bản sửa gấp không thuộc security. Cần grouping, ngoại lệ có hạn, canary và rollback.

Checklist

Kiểm kê dependabot.yml

Tách SLA phiên bản và bảo mật

Bắt buộc Dependency Review

Dùng lockfile và frozen install

Gán chủ sở hữu và ngày hết hạn cho ngoại lệ

GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown

Nguồn