世界を動かす技術を、日本語で。

Dependabotのバージョン更新がデフォルトのパッケージクールダウンを導入

2026年7月15日原文(github.blog)

概要

  • Dependabot の新しいデフォルト動作について解説
  • 新リリース検出から 3日間のクールダウン 期間導入
  • セキュリティアップデートは 即時対応 を継続
  • 設定変更やオプトアウトも 可能
  • GitHub全体GHES 3.23 で適用

Dependabotのクールダウン期間導入

  • Dependabot は新しいリリースが レジストリ で公開されてから 最低3日間 待機後、バージョンアップデートのプルリクエストを作成
  • この クールダウン期間 はデフォルト設定であり、追加の設定は不要
  • 新規リリースは サプライチェーン攻撃 の入り口となるケースが多く、破損や悪意あるバージョンが素早く依存関係に組み込まれるリスクが存在
  • 短期間の遅延により、 コミュニティやメンテナー が問題を検知する時間を確保
  • 問題のあるリリースを即座にマージするリスクの低減

適用範囲と例外

  • デフォルトのクールダウン期間は バージョンアップデート にのみ適用
  • セキュリティアップデート は従来通り 即時 プルリクエストを作成
  • 重要な修正は 遅延なし で反映可能

カスタマイズと管理者の選択肢

  • .github/dependabot.ymlcooldown オプションで期間変更や 無効化 が可能
  • プロジェクトごとの 柔軟な運用 が実現

対象範囲と今後の展開

  • このデフォルト設定は github.com 上の全サポートエコシステムのDependabotバージョンアップデートに適用
  • GitHub Enterprise Server (GHES) 3.23 以降でも有効化予定
  • 詳細は 公式ドキュメント 「Dependabot cooldowns」を参照

Hackerたちの意見

これを考えると、npm(や他のレジストリ)がエコシステムへの影響に基づいてセキュリティ要件を適用すべきかどうか考えちゃうね。例えば、ダウンロード数が何百万もあるパッケージには特別なセキュリティ対策が必要かも。

どんなセキュリティ対策が選択的に適用されるべきだと思う?

「今は0daysって呼ばないんだ、今は3daysって呼ぶんだよ」

もっと言うと、1日3回くらいだよね、そう思わない?

みんながクールダウンを適用し始めたら、問題が先延ばしになるだけじゃない?今、影響を受けているユーザーがかなりいるけど、その中の誰かが感染に気づいて報告することになる。でも、みんながアップデートを遅らせたら、タイミングよく見つけるチャンスが減るんじゃないかな?すべてのNPMパッケージを予防的にスキャンするのが可能かどうか、またそれにどれだけの計算リソースが必要かは全然わからないけど。

そのアイデアは、自動スキャンを行っている企業に少し時間を与えて、新しいバージョンの問題をユーザーが一斉にインストールする前に検出できるようにするってことだと思う。

目標は、サイバーセキュリティ企業が運営する自動スキャナーに、実際のユーザーにインストールされる前にマルウェアをフラグ付けする時間を与えることなんだ。

最近のサプライチェーン攻撃のうち、ユーザーが変な挙動に気づいて発見したのはほんの一部だよ。大半はメンテナーや第三者のグループが、ソースタグに結びついていないリリースや、急速なリリースの多さに気づいて発見したんだ。クールダウンはすべてを止めるわけじゃないけど、悪意のあるリリースが見つかる可能性を大幅に高めるよ。

「みんながクールダウンを適用し始めたら、問題が先延ばしになるんじゃない?」 いや、まだ新しいパッケージが出たら積極的にスキャンしてるリサーチ会社もあるよ。例えば、socket.devはエコシステム全体から新しいパッケージを引っ張ってきて、自動分析をしてサンドボックスで実行してる。誰かの本番リポジトリで爆発させなくても、問題があるかどうか分かるんだ。

簡単だよ、みんなよりちょっとだけプロジェクトの依存関係のアップデートを遅らせればいいだけ。

「でも、みんながアップデートを遅らせたら、タイムリーに問題を見つけるチャンスが減るんじゃない?」 いや、クールダウンの背後にあるセキュリティの前提は、無実のユーザーが被害に遭うことではなく、セキュリティスキャンを行う側にある。3日間のクールダウンは短いけど、スキャンを行う側には十分なリードタイムになるはず。 >「すべてのNPMパッケージを予防的にスキャンするのが可能かどうか、またそれにどれくらいの計算リソースが必要かはよく分からない。特に、マルウェアを最初に報告することで直接的に金銭的なインセンティブがある側にとっては、そんなにデータ量は多くないよ。」

悪意のあるやつの大半は、postinstallスクリプトで何かをcurlするだけだから、スキャナーがそれをキャッチするんだよね。こっそりしたやつは、実行するまで悪意があるようには見えないし、3日じゃ助けにならないかも。

Hacker Newsで議論の続きを見る