Présentation
Dependabot attend désormais au moins trois jours après la disponibilité d'une nouvelle version sur son registre avant d'ouvrir une demande de tirage pour une mise à jour de version. Cette période d'attente est maintenant la valeur par défaut et ne nécessite aucune configuration.
Fonctionnement
Les nouvelles versions sont souvent un point d'entrée pour les attaques de chaîne d'approvisionnement, où une version compromise ou défectueuse peut atteindre vos mises à jour de dépendances avant que les maintainers et la communauté ne les détectent. Un court délai permet à ce signal de se manifester, vous rendant ainsi moins susceptible de fusionner une mauvaise version dès sa publication.
Implications et limites
Il est important de noter que cette période d'attente par défaut ne s'applique qu'aux mises à jour de version. Les mises à jour de sécurité s'ouvrent toujours immédiatement, afin que les correctifs critiques ne soient jamais retardés. Vous pouvez utiliser l'option cooldown dans votre fichier .github/dependabot.yml pour définir une fenêtre différente ou opter pour une désactivation complète.
Portée et mise en œuvre
Cette période d'attente par défaut s'applique aux mises à jour de version Dependabot dans tous les écosystèmes pris en charge sur github.com et entrera en vigueur dans GitHub Enterprise Server (GHES) 3.23.