Dependabot 版本更新引入了默认的软件包冷却机制。
Dependabot version updates introduce default package cooldown

原始链接: https://github.blog/changelog/2026-07-14-dependabot-version-updates-introduce-default-package-cooldown/

Dependabot 现在会等待新版本在注册表中发布至少三天后,才会开启版本更新的拉取请求(pull request)。这一冷却时间目前为默认设置,无需额外配置。新版本发布往往是供应链攻击的切入点,攻击者可能在维护者和社区发现问题之前,就将受损或有问题的版本推送至依赖更新中。设置短暂的延迟可以留出时间让潜在风险显现,从而降低您在版本发布伊始就合并错误版本的可能性。 以下是几点注意事项: * 此默认设置仅适用于版本更新。安全更新仍会立即开启,确保关键修复不会被延迟。 * 您始终拥有控制权。可通过 `.github/dependabot.yml` 文件中的 `cooldown` 选项设置不同的时间窗口或完全禁用该功能。 * 此默认设置适用于 GitHub.com 上所有受支持生态系统的 Dependabot 版本更新,并将于 GitHub Enterprise Server (GHES) 3.23 版本中生效。 如需了解更多信息,请参阅关于 Dependabot 冷却时间的文档。

Hacker News 新内容 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交登录 Dependabot 版本更新引入默认的软件包冷却机制 (github.blog) 14 分,由 woodruffw 发布于 46 分钟前 | 隐藏 | 过往 | 收藏 | 讨论 帮助 考虑申请 YC 2026 年秋季班!申请截止日期为 7 月 27 日。 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:
相关文章

原文

Dependabot now waits until a new release has been available on its registry for at least three days before opening a version update pull request. This cooldown is now the default and requires no configuration.

New releases are a common entry point for supply chain attacks where a compromised or broken version can reach your dependency updates before maintainers and the community have caught it. A short delay gives that signal time to surface, so you are less likely to merge a bad release the moment it ships.

A few things to know:

  • The default applies only to version updates. Security updates still open immediately, so critical fixes are never delayed.
  • You stay in control. Use the cooldown option in your .github/dependabot.yml to set a different window or opt out entirely.

This default applies to Dependabot version updates across all supported ecosystems on github.com and will take effect in GitHub Enterprise Server (GHES) 3.23.

Learn more in our docs about Dependabot cooldowns.

联系我们 contact @ memedata.com