Dependabot giờ chờ ba ngày: biến tốc độ cập nhật thành chính sách chuỗi cung ứng
GitHub hiện chờ ít nhất ba ngày trước khi mở PR cập nhật phiên bản Dependabot thông thường. Cập nhật bảo mật vẫn được mở ngay.
Điều gì thay đổi
Mặc định áp dụng cho hệ sinh thái được hỗ trợ trên github.com và sẽ có trong GHES 3.23. cooldown cho phép 1–90 ngày, cửa sổ SemVer và include/exclude.
Quan sát không phải xác minh
Khoảng chờ giúp việc thu hồi, issue hoặc cảnh báo có thời gian xuất hiện, nhưng im lặng không chứng minh an toàn. Schedule, review, CI và deploy là các đồng hồ riêng.
Tách PR và cài đặt
Dependabot chỉ quyết định lúc tạo PR. Cài thủ công hoặc resolver khác không bị chặn. npm có min-release-age; lockfile và npm ci tái tạo cây đã duyệt.
Vận hành thực tế
Dependency Review cần xem cả thay đổi trực tiếp và bắc cầu. Tách gate cho runtime, công cụ, GitHub Actions, container và IaC theo phạm vi ảnh hưởng.
Rủi ro
Cooldown có thể chỉ làm PR đến muộn mà không giảm số lượng, đồng thời trì hoãn bản sửa gấp không thuộc security. Cần grouping, ngoại lệ có hạn, canary và rollback.
Checklist
✓Kiểm kê dependabot.yml
✓Tách SLA phiên bản và bảo mật
✓Bắt buộc Dependency Review
✓Dùng lockfile và frozen install
✓Gán chủ sở hữu và ngày hết hạn cho ngoại lệ
GitHub: GitHub Changelog: Dependabot version updates introduce default package cooldown
Nguồn
- GitHub Changelog: Dependabot version updates introduce default package cooldown
- GitHub Docs: Dependabot cooldown option
- GitHub Docs: Optimizing version-update pull requests
- GitHub Docs: Dependency review
- GitHub Docs: Dependabot security updates
- npm Docs: min-release-age
- npm Docs: npm ci
- Reddit r/reactjs: package-manager minimum release age discussion