パッケージマネージャーは冷却が必要です
## Japanese Translation:
> **主なメッセージ:**
> パッケージエコシステムは、最近のサプライチェーン攻撃を抑制するために「依存関係クールダウン」機構(新しく公開されたパッケージが即座に使用できないようにする設定可能な待ち時間)を採用しつつあります。目標は、全てのマネージャーでサポートできる `exclude-newer-than=<duration>`(例:7d)のようなグローバルに構成可能なフラグです。
> **重要性**
> Seth Larson のリクエストと William Woodruff が 2025 年末に行った分析では、最近の攻撃のうち 10 件中 8 件が 1 週間以内に実行できることが示されました。これがクールダウンを導入してその時間窓を閉じる動機となっています。
> **各エコシステムでの現状:**
> *JavaScript:* pnpm (`minReleaseAge` v10.16, 2025 年 9 月)、Yarn (`npmMinimalAgeGate` v4.10.0, 2025 年 9 月)、Bun (`minimumReleaseAge` v1.3, 2025 年 10 月)、npm (`min‑release‑age` v11.10.0, 2026 年 2 月)、Deno (`--minimum-dependency-age`)。
> *Python:* uv (`--exclude-newer`, 相対期間をサポートする v0.9.17 Dec 2025) と pip (`--uploaded-prior-to`, 絶対タイムスタンプを使用する v26.0 Jan 2026)。
> *Ruby:* ネイティブサポートなし。gem.coop のベータサービスは新しい gem に 48 時間の遅延を課し、Bundler ユーザーにツール変更なしで影響します。
> *Rust:* Cargo は RFC とレジストリ側クールダウンインフラ(v1.94 Mar 2026)を持ち、`cargo update foo --precise …` でオプトイン可能。サードパーティラッパー `cargo-cooldown` も存在します。
> *Go, Composer, NuGet, .NET:* 提案段階または初期施行段階にあり、Dependabot はすでに NuGet にクールダウンを適用しています(2025 年 7 月以降)。
> **サポートツール:**
> Renovate、Dependabot、Snyk、および npm‑check‑updates は、さまざまなデフォルトでクールダウンロジックを実装またはサポートしています。zizmor の `dependabot-cooldown`、StepSecurity の GitHub PR チェック、OpenRewrite、pinact、prek などの監査ツールはクールダウン設定の挿入を自動化します。
> **用語と相互運用性:**
> 各エコシステムでは `cooldown`、`minimumReleaseAge`、`min-release-age`、`npmMinimalAgeGate`、`exclude-newer` など異なる名前が使われており、クロス言語プロジェクトを複雑にしています。あるツールは再現性のため絶対タイムスタンプを強制し、別のツールは相対期間でスライディングセキュリティウィンドウを使用します(uv は ISO 8601 とフレンドリー文字列両方をサポート、pip は単純な日数を好みます)。
> **広い文脈:**
> apt、brew、Fedora などのシステムパッケージマネージャはすでに暗黙的なレビューウィンドウを提供しています。言語エコシステムに明示的な遅延を追加すると、人間のゲートキーパーが重複し、不要なコストが発生します。そのためクールダウンは高速リリース環境向けのターゲットセキュリティ対策です。
> **将来展望:**
> 提案が成熟するにつれて、より多くのエコシステムがクールダウンを採用し、オープンソースプロジェクトは言語間で構成を統一するために共有フラグやラッパーを標準化できるようになります。これらの対策はセキュリティを強化しますが、ビルドパイプラインの複雑さも増し、クロス言語依存関係の更新速度が遅くなり、リリースサイクルに影響を与える可能性があります。
**主なポイント:** 改良された要約は、主要リストからすべての重要点を保持し、不必要な推測を避け、明確で簡潔なナラティブを提示し、曖昧な表現を削除しています。
