概要
- Dependabot の新しいデフォルト動作について解説
- 新リリース検出から 3日間のクールダウン 期間導入
- セキュリティアップデートは 即時対応 を継続
- 設定変更やオプトアウトも 可能
- GitHub全体 と GHES 3.23 で適用
Dependabotのクールダウン期間導入
- Dependabot は新しいリリースが レジストリ で公開されてから 最低3日間 待機後、バージョンアップデートのプルリクエストを作成
- この クールダウン期間 はデフォルト設定であり、追加の設定は不要
- 新規リリースは サプライチェーン攻撃 の入り口となるケースが多く、破損や悪意あるバージョンが素早く依存関係に組み込まれるリスクが存在
- 短期間の遅延により、 コミュニティやメンテナー が問題を検知する時間を確保
- 問題のあるリリースを即座にマージするリスクの低減
適用範囲と例外
- デフォルトのクールダウン期間は バージョンアップデート にのみ適用
- セキュリティアップデート は従来通り 即時 プルリクエストを作成
- 重要な修正は 遅延なし で反映可能
カスタマイズと管理者の選択肢
- .github/dependabot.yml の cooldown オプションで期間変更や 無効化 が可能
- プロジェクトごとの 柔軟な運用 が実現
対象範囲と今後の展開
- このデフォルト設定は github.com 上の全サポートエコシステムのDependabotバージョンアップデートに適用
- GitHub Enterprise Server (GHES) 3.23 以降でも有効化予定
- 詳細は 公式ドキュメント 「Dependabot cooldowns」を参照