Dependabot、更新PRに標準3日待機…供給網リスクを緩和
Original: Dependabot version updates introduce default package cooldown View original →
パッケージ公開直後に自動更新PRが開く流れに、標準の待機時間が入る。GitHubはDependabot version updatesにdefault package cooldownを導入し、新しいリリースがregistryに少なくとも3日存在してから更新PRを作るようにした。
この3日は、単なる通知削減ではない。GitHubは、新リリースが供給網攻撃の一般的な入口になると説明している。侵害された版や壊れた版が公開された直後に自動更新が走ると、maintainersやコミュニティが異常を見つける前に、その版をmergeしてしまう可能性がある。短い待機は、危険なシグナルが表に出る時間を作る。
対象は絞られている。標準のcooldownはversion updatesだけに適用され、security updatesは引き続き即時にPRを開く。通常のバージョン追随は少し慎重にしつつ、既知の脆弱性修正は遅らせないという設計だ。
運用側の自由度も残る。.github/dependabot.ymlのcooldownオプションで待機期間を変えたり、完全に無効化したりできる。頻繁にリリースされるパッケージ、保守的な企業環境、即時追随が必要なプロジェクトで、それぞれ異なる判断が可能になる。
この標準設定は、github.com上のDependabot version updatesで対応する全ecosystemに適用され、GitHub Enterprise Server 3.23にも入る予定だ。自動依存関係更新の価値は残るが、GitHubの標準姿勢は「即時に最新」から「危険が見える最低限の時間を置く」方向へ動いた。
Related Articles
公開Issueに埋め込んだ指示がprivate repositoryへのアクセスにつながる可能性が示され、HNではagent権限の切り方が論点になった。
GitHub code scanningが、pull request上にAIベースのセキュリティ検出を表示するようになった。CodeQLが標準対応しない言語やフレームワークにも広げる一方、利用にはGitHub Code Security、Copilotライセンス、AI creditsが必要になる。
Githubは2026年5月20日、社内エンジニアがVS Codeマーケットプレイスに掲載されていた毒入り拡張「Nx Console」(公開からわずか11分で削除)をインストールしたことで、内部リポジトリ約3,800件が流出したと公式に認めた。脅威グループTeamPCPが犯行を認めており、1Password・Claude Code・AWSなどの認証情報が窃取されたとみられる。