본문으로 건너뛰기

Dependabot 기본 3일 대기 도입… 공급망 악성 릴리스 완충

Original: Dependabot version updates introduce default package cooldown View original →

Read in other languages: English日本語
AI Jul 15, 2026 By Insights AI 1 min read 1 views Source

새 패키지가 올라오자마자 자동 PR이 열리는 흐름에 기본 완충 시간이 생겼다. GitHub은 Dependabot version updates에 기본 package cooldown을 도입해, 새 릴리스가 registry에 최소 3일 존재한 뒤에야 업데이트 PR을 만들도록 바꿨다.

이 3일은 단순한 속도 조절이 아니다. GitHub은 새 릴리스가 공급망 공격의 흔한 진입점이라고 설명한다. compromised 또는 broken 버전이 막 배포된 직후 자동 업데이트로 들어오면, maintainers와 커뮤니티가 이상 신호를 포착하기 전에 조직이 그 버전을 merge할 수 있다. 짧은 대기 시간은 그런 신호가 표면화될 시간을 준다.

중요한 예외도 있다. 기본 cooldown은 version updates에만 적용된다. security updates는 여전히 즉시 PR을 열기 때문에, 취약점 패치가 cooldown 때문에 지연되지는 않는다. GitHub은 이 구분을 통해 안정성과 보안 대응 속도 사이의 충돌을 줄이려 한다.

운영팀의 제어권도 남겨뒀다. 저장소의 .github/dependabot.yml에서 cooldown 옵션을 사용하면 다른 기간을 지정하거나 opt out할 수 있다. 패키지 생태계나 내부 배포 리듬에 따라 더 긴 관찰 기간을 둘 수도 있고, 빠른 업데이트가 중요한 프로젝트는 기본값을 바꿀 수 있다.

적용 범위는 넓다. 이 기본값은 github.com의 모든 지원 ecosystem에서 Dependabot version updates에 적용되며, GitHub Enterprise Server 3.23에도 들어갈 예정이다. 자동화된 의존성 업데이트는 여전히 필요하지만, 이제 GitHub의 기본값은 “최신을 즉시 받기”보다 “문제가 드러날 최소 시간을 두기” 쪽으로 이동했다.

Share: Long

Related Articles

AI May 23, 2026 1 min read

해커 그룹 TeamPCP가 VS Code 마켓플레이스에 올린 독성 Nx Console 확장(게시 11분 만에 삭제)을 통해 GitHub 직원 PC를 침해하고 내부 저장소 약 3,800개를 탈취했다고 GitHub이 5월 20일 확인했다. 1Password·Anthropic Claude Code·AWS 자격증명이 유출됐으며, 공격자는 5만 달러에 데이터를 판매 시도 중이다.