GitHub 的 Dependabot 工具引入了强制性的三天冷却期,在自动创建版本更新拉取请求之前必须等待新发布版本在注册表中存在至少三天。这一安全措施现已成为默认配置,旨在通过给予时间审查新包版本来防止潜在的供应链攻击。
背景
Dependabot 是 GitHub 维护的一个自动化工具,当依赖项有新版本可用时,它会自动创建拉取请求以帮助保持项目依赖的更新。由于近期发生了多起通过被篡改的包进行的供应链攻击事件,软件开发的供应链安全已成为一个关键关注点。
- 来源
- Simon Willison
- 发布时间
- 2026年7月15日 06:43
- 评分
- 6.0 / 10