返回

文章详情

依赖机器人版本更新引入默认包冷却时间

Hacker News2026年7月14日 21:15

依赖机器人现在在其注册表中等待至少三天的新版本发布后,才会打开版本更新拉取请求。这个冷却时间现在是默认值,并且不需要配置。新的版本发布是供应链攻击的常见切入点,受损或有缺陷的版本可能在维护者和社区发现之前就到达你的依赖更新中。短暂的延迟为信号提供了时间,让你更不容易在版本发布的第一时间合并一个错误版本。有几点需要知道:默认设置仅适用于版本更新。安全更新仍然会立即开启,因此关键修复不会被延误。你仍然掌控局面。使用 .github/dependabot.yml 中的冷却选项设置不同的时间窗口或完全选择退出。这个默认适用于 github.com 上所有受支持生态系统的依赖机器人版本更新,并将在 GitHub Enterprise Server (GHES) 3.23 中生效。在我们的文档中了解更多有关依赖机器人冷却的信息。订阅我们的开发者通讯,发现仅为开发者提供的每两周一次的通讯中的技巧、技术指南和最佳实践。返回顶部

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡