GitHubが依存関係の自動更新に標準で「3日間の待機」を導入、危険な新バージョンの即時取り込みを防止

GitHubが依存関係を自動更新する「Dependabot version updates」について、新しいパッケージが公開されてから最低3日間は更新用のプルリクエストを作成しない既存機能を標準で適用するよう変更しました。公開直後のパッケージに悪意あるコードや重大な不具合が含まれていた場合に、問題が発覚する前に取り込んでしまう危険性を抑える目的となっています。
Dependabot version updates introduce default package cooldown - GitHub Changelog
https://github.blog/changelog/2026-07-14-dependabot-version-updates-introduce-default-package-cooldown/
バックドアを含むプラグインの更新版を適用したことでウェブサイトにバックドアが仕込まれたり、開発用パッケージを最新版へ更新したことで認証情報を盗まれたりする場合があります。ソフトウェア本体ではなく、開発や動作に使われる外部パッケージや配布経路を狙う手口が「ソフトウェアサプライチェーン攻撃」です。
2026年4月には所有権が移転したWordPress向けプラグイン31個の更新版にバックドアが追加される事件が報告されました。バックドアの悪用開始後まもなくWordPress.orgは対象プラグインの公開を停止したものの、停止前に更新した利用者は影響を受ける可能性がありました。公開直後に更新せず数日待てば、他の利用者やセキュリティ研究者による報告を確認してから安全性を判断できるというわけです。
WordPressのプラグイン31個にバックドアの存在が発覚、所有権移転後のアップデートで追加 - GIGAZINE

パッケージを公開する側でも対策が進んでいます。JavaScript向けパッケージ管理サービスのnpmは2026年5月、パッケージをいったん公開待ち状態に置き、メンテナーが2要素認証で承認してから一般公開する「staged publishing」を導入しました。公開用トークンが流出しただけでは悪意あるパッケージを配布しにくくする仕組みで、更新版が登録される段階で攻撃を食い止めることを目的としています。
度重なるサプライチェーン攻撃を受けnpmが「段階的リリース」を導入、流出したトークンだけではパッケージを公開できない仕組みを追加 - GIGAZINE

GitHubのDependabot version updatesは利用中の依存関係を定期的に確認し、新しいバージョンが見つかると更新内容を確認して取り込むためのプルリクエストを自動作成する機能です。更新作業の手間を減らせる反面、公開されたばかりの危険なバージョンまで素早く開発者へ提示する可能性がありました。
GitHubは2025年7月から、更新版の公開後に一定期間待ってからプルリクエストを作成する「cooldown」オプションを提供していました。従来はリポジトリごとに設定ファイルへ記述する必要がありましたが、今回の変更によって「3日間の待機」が標準設定として自動適用されるようになります。
標準の待機期間が適用されると、Dependabotはパッケージレジストリと呼ばれる配布サーバーで新バージョンが公開されてから3日以上経過しているかを確認し、3日未満の場合は通常のバージョン更新を見送り、待機期間を過ぎた後にプルリクエストを作成するようになります。
3日間の待機は脆弱(ぜいじゃく)性を修正するセキュリティ更新には適用されません。既知の脆弱性を解消する更新は従来通り直ちに提案されるため、緊急性の高い修正が遅れることはないとGitHubは説明しています。また「.github/dependabot.yml」のcooldown設定を変更すれば、待機期間を延長したり標準の待機を無効にしたりできます。
依存関係の更新を数日遅らせる手法については「すぐに更新した利用者が無償かつ意図しないベータテスターになることを前提とした仕組みであり、全員が待機するようになれば成立しなくなる」との指摘もあります。ITエンジニアのカル・パターソン氏は、個々の利用者を守る効果は期待できるものの、利用者全体が一斉に待つ場合には成立しにくいと論じています。
サプライチェーン攻撃への防御策として「数日待つ」のは有効なのか? - GIGAZINE

3日間の標準待機はGitHub.com上でDependabotが対応する全パッケージ管理環境に適用され、GitHub Enterprise Serverではバージョン3.23から導入される予定です。新しい依存関係を公開直後から更新候補として扱っていたDependabotに短い待機期間を設けることで、危険な更新版の兆候が表面化する時間を確保できるとGitHubは述べています。
・関連記事
MicrosoftのGitHubリポジトリ73件が無効化される、AIユーザーから認証情報を盗むマルウェアに侵害されたため - GIGAZINE
GitHubの内部情報が流出、Visual Studio Codeの拡張機能経由で約3800のリポジトリに不正アクセスされる - GIGAZINE
GitHubスター4万超えのAIライブラリ「LiteLLM」がサプライチェーン攻撃を受けマルウェア版が配布されてしまう、ユーザーのSSHキーやAPIキーが盗まれた可能性あり - GIGAZINE
毎週数百万回ダウンロードされる人気JavaScriptライブラリ群「TanStack」にサプライチェーン攻撃、問題のあるバージョンをインストールした開発環境では認証情報流出の恐れ - GIGAZINE
GitHubでトロイの木馬を配布するリポジトリ約1万件が見つかる、正規プロジェクトを複製して検索結果に紛れ込む - GIGAZINE
・関連コンテンツ
in ネットサービス, セキュリティ, Posted by log1d_ts
You can read the machine translated English article GitHub now includes a '3-day wait' as st….





