GitHub 官方宣布其依赖管理工具 Dependabot 正式引入默认的“包冷却期”机制。根据新政策,Dependabot 将不再立即为依赖项的最新版本创建更新拉取请求,而是等待该新版本在注册中心发布至少三天。这一策略的核心目标是增强软件供应链的安全性。鉴于新发布版本常被攻击者利用作为供应链攻击的切入点——例如通过劫持账户或植入恶意代码——在维护者和社区未及时发现并撤下坏版本之前,直接合并此类更新存在极高风险。引入三天的缓冲期能让潜在的问题充分暴露,从而避免用户同步引入有缺陷或恶意的代码。此外,GitHub 明确区分了版本更新与安全更新:涉及关键漏洞的安全补丁将不受冷却期限制,确保紧急修复能够即时部署。用户仍拥有完全控制权,可通过仓库中的 `.github/dependabot.yml` 配置文件自定义冷却时长或禁用该功能。该变更已覆盖 GitHub.com 支持的所有生态系统,并将在 GitHub Enterprise Server 3.23 中同步上线。
事件分析
💡 核心观点:GitHub牺牲即时性换取安全性,将“延迟防御”确立为供应链治理的新标准。
原文链接:Hacker News





