GXO
サイバーセキュリティ

Dependabotが新packageを3日待っても安全とは限らない|Cooldown例外・緊急更新の100点監査

11分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

サイバーセキュリティ

結論:3日は「観察時間」であり、packageの安全証明ではない

GitHubは2026年7月14日、Dependabot version updatesが、registryで公開された新releaseについて最低3日待ってからPull Requestを作るpackage cooldownを既定にしたと発表しました。設定不要で適用されます。

新release直後は、maintainerやcommunityが侵害・不具合を発見する前に悪意あるversionを取り込むsoftware supply chain riskがあります。短い待機時間はsignalが表面化する余地を作ります。

ただし重要な限定条件があります。

  • 既定の3日cooldownはversion updatesだけ
  • security updatesは即時に開かれ、critical fixを遅らせない
  • .github/dependabot.ymlcooldownで期間変更・opt-outが可能
  • github.comの全supported ecosystemが対象で、GitHub Enterprise Serverは3.23から

この記事は、SaaS・Web serviceを運営する経営者、CTO、開発責任者、発注者向けです。作る相談はDependabot設定代行ではなく、依存package台帳、risk tier、緊急更新、回帰test、rollbackを設計するsupply-chain診断です。

FREE CONSULTATION

この記事の内容について、専門家に相談できます

AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。

無料で相談する

3日cooldownで解決すること・しないこと

横にスクロールして確認できます

項目助けること別途必要なこと
新release直後即時追随を避け、community signalを待つpublisher、署名、変更、評判、advisory確認
version updatePR作成を遅らせるCI、review、staging、rollback
security update既定cooldownの対象外で即時悪用・露出・互換性による緊急順序
package別運用設定で日数・include・excludeを調整business criticalityとownerの定義

GitHub Docsではcooldown日数を1〜90日で設定でき、default、SemVer major/minor/patch、include/excludeを調整できるとしています。supported package managerによってSemVer別設定の対応は異なります。

Cooldown導入で起きる5つの失敗

  1. 3日経過を安全承認にする。 悪意あるcodeや重大bugが4日目以降に発覚する可能性があります。
  2. security updateも3日遅れると誤解する。 緊急CVE対応のSLAと運用が混乱します。
  3. 全packageを同じ日数にする。 認証・暗号・build actionと開発toolのrisk差が消えます。
  4. PRが来たら自動mergeする。 lockfile、transitive dependency、install script、maintainer変更を見ません。
  5. 待ちすぎて保守負債を作る。 大量の差分をまとめて上げ、原因特定とrollbackが難しくなります。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

GXO式「Package update 5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
依存・owner20direct/transitive、runtime/build、owner、利用箇所、SBOMを把握lockfileだけ
risk tier20認証、network、install script、privilege、重要業務でtier化全package 3日
cooldown・例外20major/minor/patch、include/exclude、security SLA、緊急承認を定義opt-outが無承認
test・rollback25CI、security、staging、canary、lockfile、旧version復帰を試験green buildだけ
証拠・改善15release、advisory、review、merge、incident、遅延、再発を記録PR件数を成果にする

合計点に関係なくmergeを止める条件

  • publisher・repository・ownershipに不審な変更がある
  • install script、GitHub Actions、build pluginが新たな外部通信・secret accessを要求
  • lockfileに意図しないpackage・registry・hash変更がある
  • 重大業務の回帰test・rollbackがない
  • security updateを通常version updateと誤分類し、緊急性を判断できない

仮想記入例:決済SaaSのnpm依存更新

横にスクロールして確認できます

ゲート得点不足
依存・owner15/20transitiveの決済SDK補助packageを未分類
risk tier11/20runtimeとtest toolが同じ3日
cooldown・例外12/20security updateの24時間SLAがない
test・rollback13/25unit testのみ、決済sandboxとcanaryなし
証拠・改善8/15maintainer・release provenance未確認
合計59/100自動mergeを止め、risk tierを再設定

認証、決済、GitHub Actions、install scriptを高risk tierへ分けます。通常versionは観察時間を設け、security updateは悪用・露出を確認して即時testします。stagingと少数canaryで監視し、lockfileを含め旧versionへ戻せるようにします。

設定例はpolicyと一緒に管理する

cooldown:
  default-days: 5
  semver-major-days: 30
  semver-minor-days: 7
  semver-patch-days: 3
  exclude:
    - "company-emergency-package"

この例はGitHub公式の設定項目を使った説明用です。excludeは待機から外れて即時update対象になるため、package名だけでなく、例外理由、owner、security SLA、必要testをpolicyへ記録します。実際のsupported optionはpackage ecosystemごとに公式Docsで確認してください。

開発会社へ確認する10問

  1. direct・transitive dependencyのownerは誰か
  2. runtime、build、GitHub Actions、testをrisk別に分けたか
  3. 既定3日を変更・解除する承認者は誰か
  4. security updateがcooldown対象外であることを運用へ反映したか
  5. publisher・maintainer・repository変更を確認するか
  6. install scriptとsecret accessをreviewするか
  7. lockfile・hash・registry差分を検査するか
  8. staging・canary・rollbackをどこまで行うか
  9. SBOMと納品versionを発注者へ引き渡すか
  10. package incident時の停止・rotation・顧客通知手順はあるか

GXOのDevSecOps支援では、SBOM、Dependabot、CI/CD、review、例外、rollbackを一体で診断します。既存systemの依存riskは脆弱性診断、外注開発の納品・保守条件はシステム開発セカンドオピニオンへ接続します。

FAQ

3日待てばsupply chain attackを防げますか

保証はできません。発見signalを待つ時間を作るcontrolです。provenance、review、test、最小権限、監視、rollbackと組み合わせます。

security patchも3日遅れますか

GitHubの発表では、既定cooldownはversion updatesだけで、security updatesは即時に開きます。

全packageを30日待つ方が安全ですか

更新遅延による脆弱性・互換性・保守負債も増えます。packageの権限、用途、変更種別、緊急性で日数を分けます。

出典・確認日

既定値、supported ecosystem、GHES version、設定optionは変更される可能性があります。最新のGitHub公式文書と自社configurationを確認してください。cooldownはpackageの安全性を保証しません。本記事の配点・仮想例・YAMLの例外名はGXO独自です。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK