Dependabot现在等待,直到其注册表上的新版本可用至少三天,然后再打开版本更新拉取请求。此冷却时间现在是默认值,无需配置。新版本是供应链攻击的常见切入点,在维护人员和社区发现之前,受损或损坏的版本可能会到达您的依赖关系更新。
短暂的延迟会使信号浮出水面,因此您不太可能在发货时合并不良版本。默认值仅适用于版本更新。安全更新仍会立即打开,因此关键修复永远不会延迟。一切尽在您的掌握之中。使用your.github/dependabot.yml中的冷却选项设置其他窗口或完全退出。
此默认值适用于github.com上所有受支持生态系统的Dependabot版本更新,并将在GitHub Enterprise Server (GHES) 3.23中生效。在我们的文档中了解有关Dependabot冷却时间的更多信息。Dependabot现在等待,直到其注册表上的新版本可用至少三天,然后再打开版本更新拉取请求。此冷却时间现在是默认值,无需配置。
新版本是供应链攻击的常见切入点,在维护人员和社区发现之前,受损或损坏的版本可能会到达您的依赖关系更新。短暂的延迟会使信号浮出水面,因此您不太可能在发货时合并不良版本。注意事项:默认值仅适用于版本更新。安全更新仍会立即打开,因此关键修复永远不会延迟。
一切尽在您的掌握之中。使用your.github/dependabot.yml中的冷却选项设置其他窗口或完全退出。此默认值适用于github.com上所有受支持生态系统的Dependabot版本更新,并将在GitHub Enterprise Server (GHES) 3.23中生效。在我们的文档中了解有关Dependabot冷却时间的更多信息。Dependabot版本更新后的默认包冷却时间首次出现在GitHub博客上。