本文へスキップ

Dependabot、更新PRに標準3日待機…供給網リスクを緩和

Original: Dependabot version updates introduce default package cooldown View original →

Read in other languages: 한국어English
AI Jul 15, 2026 By Insights AI 1 min read 1 views Source

パッケージ公開直後に自動更新PRが開く流れに、標準の待機時間が入る。GitHubはDependabot version updatesにdefault package cooldownを導入し、新しいリリースがregistryに少なくとも3日存在してから更新PRを作るようにした。

この3日は、単なる通知削減ではない。GitHubは、新リリースが供給網攻撃の一般的な入口になると説明している。侵害された版や壊れた版が公開された直後に自動更新が走ると、maintainersやコミュニティが異常を見つける前に、その版をmergeしてしまう可能性がある。短い待機は、危険なシグナルが表に出る時間を作る。

対象は絞られている。標準のcooldownはversion updatesだけに適用され、security updatesは引き続き即時にPRを開く。通常のバージョン追随は少し慎重にしつつ、既知の脆弱性修正は遅らせないという設計だ。

運用側の自由度も残る。.github/dependabot.ymlcooldownオプションで待機期間を変えたり、完全に無効化したりできる。頻繁にリリースされるパッケージ、保守的な企業環境、即時追随が必要なプロジェクトで、それぞれ異なる判断が可能になる。

この標準設定は、github.com上のDependabot version updatesで対応する全ecosystemに適用され、GitHub Enterprise Server 3.23にも入る予定だ。自動依存関係更新の価値は残るが、GitHubの標準姿勢は「即時に最新」から「危険が見える最低限の時間を置く」方向へ動いた。

Share: Long

Related Articles

AI May 23, 2026 1 min read

Githubは2026年5月20日、社内エンジニアがVS Codeマーケットプレイスに掲載されていた毒入り拡張「Nx Console」(公開からわずか11分で削除)をインストールしたことで、内部リポジトリ約3,800件が流出したと公式に認めた。脅威グループTeamPCPが犯行を認めており、1Password・Claude Code・AWSなどの認証情報が窃取されたとみられる。