2026/07/14/github-dependabot-now-delays-version-update-pull
GitHub Dependabot, 공급망 공격 위험을 줄이기 위해 버전 업데이트 PR 기본 생성 시점을 신규 릴리스 3일 뒤로 연기
편집자 요약
GitHub은 Dependabot이 신규 패키지 릴리스가 registry에 공개된 뒤 최소 3일이 지나야 version update pull request를 생성하도록 기본값을 변경했습니다. 이 cooldown은 별도 설정 없이 적용되며, 보안 업데이트는 지연하지 않고 즉시 열려 critical fix가 늦어지지 않도록 했습니다. 사용자는 .github/dependabot.yml의 cooldown 옵션으로 기간을 조정하거나 비활성화할 수 있으며, github.com의 모든 지원 ecosystem에 적용되고 GHES 3.23에도 반영됩니다.
인사이트
패키지 생태계에서 신규 릴리스 직후를 노리는 supply chain attack이 늘면서, 자동 업데이트 도구도 속도보다 검증 신호를 중시하는 방향으로 이동하고 있습니다. 3일 지연은 유지관리자와 커뮤니티가 손상 또는 오류 릴리스를 탐지할 시간을 벌어 주지만, 릴리스 최신성에 민감한 조직은 정책별 예외 설정이 필요합니다.
댓글
토론
> geekhaus:~$ 다음 읽을거리?
