2 min de lectura

Dependabot ahora espera 3 días antes de abrir PRs de versión

GitHub ha establecido un periodo de enfriamiento de tres días como valor predeterminado para las actualizaciones de versión de Dependabot, para reducir el riesgo en la cadena de suministro causado por

Imagen: Hacker News

GitHub ha modificado Dependabot para que ahora espere al menos tres días desde que una nueva versión aparece en un registro antes de abrir una pull request de actualización de versión. El nuevo periodo de enfriamiento para paquetes es ahora el valor predeterminado y no requiere ninguna configuración.

La idea es sencilla: las versiones recién publicadas son una vía común para los ataques a la cadena de suministro de software, sobre todo cuando una versión de paquete comprometida o dañada llega a los bots de dependencias antes de que los mantenedores y la comunidad en general detecten los problemas. Al añadir un pequeño retraso, GitHub afirma que los equipos tendrán menos probabilidad de fusionar una versión mala en cuanto se publique.

Hay algunas limitaciones importantes. El periodo de enfriamiento predeterminado se aplica únicamente a las actualizaciones de versión. Las actualizaciones de seguridad seguirán abriéndose de inmediato, por lo que las correcciones urgentes no se retrasan.

Los desarrolladores aún pueden cambiar el comportamiento en .github/dependabot.yml. GitHub dice que puedes establecer una ventana de enfriamiento diferente u optar por desactivarlo por completo usando la opción cooldown.

Recomendado

Los enlaces t.me de Telegram vuelven tras un contratiempo por sanciones

El valor predeterminado se aplica a las actualizaciones de versión de Dependabot en todos los ecosistemas compatibles en github.com. GitHub también dice que llegará a GitHub Enterprise Server 3.23.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Hacker News

// Sigue leyendo