Dependabot 新增默认冷却期防攻击
Dependabot version updates introduce default package cooldown

GitHub 的 Dependabot 现在默认会对版本更新引入 3 天的冷却期。这意味着在新版本发布后的头三天内,Dependabot 不会自动创建 Pull Request。这一举措旨在防范供应链攻击,因为恶意或损坏的版本往往在发布初期就潜伏其中。通过短暂的延迟,社区和维护者有更多时间发现并标记问题,从而避免项目立即合并有风险的依赖。值得注意的是,安全更新不受此限制,依然会立即触发,确保关键漏洞修复不被延误。用户依然可以通过配置 `.github/dependabot.yml` 中的 `cooldown` 选项来自定义时间窗口或完全关闭此功能。
"短暂的延迟能让风险信号有时间浮出水面,从而降低你在版本发布瞬间就合并了恶意更新的可能性。"