GitHub、Dependabot の更新に 3 日間の待機期間を導入──サプライチェーン攻撃の混入を自動回避
依存関係の更新時にリリース後 3 日間のクールダウンを標準適用し、悪意あるパッケージの即時混入リスクを低減する。
リリース: 2026-07-14 · 読了 2 分記事の要約
1. 核心(What)
- Dependabot のバージョン更新において、パッケージ公開から 3 日間待機するクールダウン機能をデフォルトで適用。
- セキュリティ更新(Security updates)は対象外とし、緊急パッチは即時開かれる仕様を維持。
- GitHub Enterprise Server (GHES) 3.23 以降で利用可能。
- 設定ファイル .github/dependabot.yml の cooldown オプションで期間変更や無効化が可能。
2. 影響(Why)
- サプライチェーン汚染の自動防御: リリース直後の悪意あるパッケージや破壊的変更を、コミュニティが検知するまでの猶予期間を設けることで、CI/CD パイプラインへの混入を未然に防ぐ。
- 国内 SaaS 開発への影響: 外部ライブラリ依存度が高い国内の Vertical SaaS 開発チームにおいて、Dependabot の自動マージ運用を維持しつつ、未知の脆弱性混入リスクを最小化する現実的な防壁となる。
3. 根拠・詳細(How)
- 更新ロジックの制御仕様: バージョン更新(version updates)のみを対象に 3 日間の待機ロジックを強制適用。Security updates は即時実行されるよう内部優先順位が分離されている。
4. 展望・課題(Next)
- GHES 3.23 への移行: オンプレミス環境で運用中の組織は、GitHub Enterprise Server 3.23 へのアップグレード計画に本機能の適用を含める必要がある。