新規安全・障害
GitHub
セキュリティ
Dependabot version updatesが既定3日待機、更新速度と供給網リスクの調整方法
Dependabotは新しいpackage releaseがregistryで3日経過するまでversion update PRを作らない既定cooldownを導入した。security updateは即時のままで、緊急性が高いdependencyだけ設定で例外化できる。
- 影響
- github.comでDependabot version updatesを利用するrepositoryと、今後GHES 3.23へ移行する組織
- 対応
- 更新SLAとrelease cadenceを確認し、3日待機を維持するかpackage単位・ecosystem単位でcooldownを明示する
- 期限
- 期限なし