تقدم تحديثات إصدار Dependabot فترة تباطؤ الحزمة الافتراضية
ينتظر Dependabot الآن حتى يتوفر إصدار جديد في السجل الخاص به لمدة ثلاثة أيام على الأقل قبل فتح طلب سحب تحديث الإصدار. أصبح هذا التباطؤ الآن هو الإعداد الافتراضي ولا يتطلب أي تكوين. تعد الإصدارات الجديدة نقطة دخول شائعة لهجمات سلسلة التوريد حيث يمكن للإصدار المخترق أو المعطل أن يصل إلى تحديثات التبعية الخاصة بك قبل أن يكتشفها المشرفون والمجتمع. يمنح التأخير القصير وقتًا لظهور هذه الإشارة، لذلك تقل احتمالية دمج إصدار سيئ لحظة شحنه. بعض الأشياء التي يجب معرفتها: ينطبق الإعداد الافتراضي على تحديثات الإصدار فقط. لا تزال التحديثات الأمنية مفتوحة على الفور، لذلك لا تتأخر الإصلاحات المهمة أبدًا. يمكنك البقاء في السيطرة. استخدم خيار التهدئة في .github/dependabot.yml لتعيين نافذة مختلفة أو إلغاء الاشتراك بالكامل. ينطبق هذا الافتراضي على تحديثات إصدار Dependabot عبر جميع الأنظمة البيئية المدعومة على github.com وسيدخل حيز التنفيذ في GitHub Enterprise Server (GHES) 3.23. تعرف على المزيد في مستنداتنا حول فترات تباطؤ Dependabot.
تم النشر: 2026-07-14 22:15:00
مصدر: github.blog








