GitHub Dependabot teraz czeka trzy dni od publikacji nowej wersji pakietu zanim otworzy pull request z propozycją aktualizacji. Trzydniowy cooldown staje się domyślnym zachowaniem i nie wymaga żadnej ręcznej konfiguracji u użytkowników.
Ta zmiana adresuje poważny problem w ekosystemie open source - zjawisko, w którym złośliwe zmiany albo krytyczne błędy w nowych wersjach pakietów rozprzestrzeniają się błyskawicznie, zanim społeczność ma czas na ich zauważenie i zgłoszenie. Dając trzydniowy bufor, GitHub daje autorom pakietów i badaczom bezpieczeństwa szansę na zidentyfikowanie i naprawę problemów w najnowszych wersjach.
Wdrożenie tej strategii jako domyślnej może znacząco wzmocnić bezpieczeństwo łańcucha dostaw oprogramowania. Projekty będą automatycznie chronione przed najpilniejszymi zagrożeniami bez konieczności ręcznego skonfigurowania dependency-cooldowns. To szczególnie ważne dla zespołów bez dedykowanego zespołu security, które mogą nie wiedzieć o takich praktykach.