综合 · 新闻详情

Dependabot 版本更新引入默认包冷却时间

投资 · 社区 · Hacker News · 2026-07-15 · 重磅值 38.43

Dependabot 现在会等待新版本在其注册表中发布至少三天,然后再打开版本更新拉取请求。此冷却时间现在是默认值,无需配置。新版本是供应链攻击的常见入口点,其中受损或损坏的版本可以在维护人员和社区发现之前到达您的依赖项更新。短暂的延迟可以让信号有时间浮现出来,因此您不太可能在发布后立即合并错误的版本。默认值仅适用于版本更新。安全更新仍然会立即开放,因此关键修复永远不会延迟。您保持掌控。使用 .github/dependabot.yml 中的冷却选项设置不同的窗口或完全选择退出。此默认值适用于 github.com 上所有支持的生态系统中的 Dependabot 版本更新,并将在 GitHub Enterprise Server (GHES) 3.23 中生效。在我们的文档中了解有关 Dependabot 冷却时间的更多信息。内部源安全建议已普遍可用 npm 安装时安全性和 GAT绕过2fa 弃用 开源许可证合规性处于公共预览版 即将推出的针对封闭安全警报的云数据保留策略 不受信任触发器的只读操作缓存 npm 为高影响力帐户添加预防性帐户保护 Dependabot 弃用 Python 3.9 GitHub Actions 结账的默认 pull_request_target 更安全

机器翻译/自动整理可能存在误差,请以原文为准。