
2026/07/15 6:15
Dependabot のバージョン更新機能でデフォルトのパッケージ冷却期間が導入されます
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
GitHub の Dependabot は、バージョン更新用のプルリクエストを自動的に作成する前に 3 日間の待機期間を導入する新たなセキュリティ対策を実装しています。この重要な変更は、パブリケーションの直後にマルウェア攻撃者がパッケージリリースを乗っ取るサプライチェーン攻撃からソフトウェアリポジトリを守ることを目的としています。これらのリクエストの作成を遅らせることで、管理者らはそのコードがビルドプロセスに投入される前に、潜在的に汚染されたコードを検査するための十分な時間を確保できます。重要なのは、この安全バッファは重要なセキュリティ更新には適用されない点です。セキュリティ更新は、不可欠な脆弱性パッチへの即時アクセスを確保するために待機期間を完全に迂回します。GitHub Enterprise Server のバージョン 3.23 以前を管理する組織は、後ほどアップグレードする必要があります。また、他の組織も
.github/dependabot.yml ファイルを介して設定を即座に構成し、このウィンドウを調整または無効化できます。結論として、この更新により、堅牢なセキュリティ衛生と運用上の柔軟性のバランスが達成され、急速な悪意のあるデプロイのリスクは低減しつつ、必要な依存関係の改善は遮断されることなく対応されます。本文
Dependabot リリース更新の新しいデフォルト設定(3 日間待機制)開始
Dependabot は、現在、リポジトリ公式レジストリの新しいリリースが少なくとも 3 日間公開された後にバージョン更新用のプルリクエストを作成するよう待機するようになりました。
🎯 変更の背景と目的
- サプライチェーン攻撃への対策: 新しいリリースは一般的な侵入経路となるため、脆弱性或破損したバージョンが依存関係の更新に到達するリスクを低減します。
- 検知時間の確保: ショートな遅延により、維持担当者とコミュニティが問題を検知する時間を確保できます。
- 悪意のあるバッチの防止: リリース直後に悪意のあるコードがマージされるリスクを大幅に低下させます。
この待機期間(クールダウン)はデフォルト設定であり、特別な設定を行う必要はありません。
⚡ 重要なお知らせ
- セキュリティアップデートへの影響なし: デフォルト設定はバージョン更新のみに適用されます。セキュリティアップデートには即座にプルリクエストが作成されるため、重要な修正は一切遅延しません。
- 主導権は常にあなた:
を編集して冷却期間をカスタマイズするか、完全に無効化することも可能です。*.github/dependabot.yml
🌐 適用範囲と対応
- 対象プラットフォーム:
のすべてのエコシステムgithub.com- GitHub Enterprise Server (GHES) バージョン 3.23 以上
- 詳細情報: Dependabot のクールダウンに関するドキュメント で詳しく確認できます。