RubyのBundlerにクールダウン機能が待望の実装！

RubyのBundlerプロジェクトにおいて、クールダウン機能のサポートが追加されました。この変更により、頻繁な依存関係の更新による影響を抑制し、安定したビルド環境の維持が期待できます。

created_at を公開しないソースのバージョン（古いgemサーバーやv2移行前の履歴データ、v1フォーマットのままのプライベートレジストリなど）は、期間外として扱われ、解決可能なままになる。

それってクールダウンを回避するための簡単なエクスプロイトにならないか？

みんながこれを使うようになったら、結局また振り出しに戻るんじゃないか？

1.0がインストールされていて、7日間のクールダウンを有効にしたとする。1.0に脆弱性が見つかって、修正版の1.1がすぐリリースされた場合、1.0のまま7日間放置しろっていうのか？

そんな中でRubyの順位は落ちていってるな。

rubygems.org自体はどれくらい活発なんだ？自分は開発者に10万ダウンロードのしきい値が課された時点で引退したよ。GitHubには公開・管理しているコードに対してそんな制限はないからね。でもその制限の前から、数多くのgemが放置されていた。まあ、それは自然なサイクルだと理解しているけど、新しい開発者の流入がなければ、RubyもかつてのPerlと同じように化石化して廃れていくだろう。

どんな「クールダウン」を導入したところで、新しい開発者が増えるわけでもない。結局は企業向けに体裁を整えているだけに見えるな。間接的には助けになるかもしれないけど、それほど効果があるとは思えない。

仮説：Red HatからGitHub、Amazon、そして小さなスタートアップに至るまで、こうした急速なリポジトリ侵害が加速している大きな要因は、GitHubとDependabotによる自動依存関係アップデートにあるんじゃないか。

COVID-19が航空網を利用したように、現代のマルウェア攻撃はGitHubとDependabotを頼って感染拡大を加速させているんだ。

Vueで作った1ページのウェブサイトでさえ、週に5回くらいアップデート通知が来る状況だしな。