Dependabotのバージョン更新に「クールダウン機能」がデフォルトで導入されました
Dependabot version updates introduce default package cooldown
Dependabot version updates introduce default package cooldown
GitHubのDependabotによるバージョン更新プロセスに、待機期間(クールダウン)がデフォルトで設定されるようになりました。これにより、短期間に大量のプルリクエストが生成されるのを防ぎ、依存関係の更新をより安定かつ効率的に管理できるようになります。開発者の負担を軽減する待望の機能改善と言えるでしょう。
ソフトウェアをインストールするたびに怯えて、ベンダーが事前にスキャンしてくれるのを頼りにしなきゃいけないなんて、ひどい状況だよな。サプライチェーンはめちゃくちゃだし、ツール側も我々を守る能力もやる気もないんだから。
これ見てると、npmとかのレジストリ側がエコシステムへの影響度に応じてセキュリティ要件を適用すべきじゃないかと思う。例えば、数百万ダウンロードもあるようなパッケージには特別なセキュリティ対策を義務付けるとかさ。
デフォルト設定が適用されるのはバージョンアップデートのみ。セキュリティアップデートは即時反映されるから、重要な修正が遅れることはない。
これって本物の脆弱性レポートかCVEが必要なの?もしパッケージが乗っ取られたら、攻撃者が「重要なアップデート」を装って偽の更新を押し付けて、この待ち時間を回避できたりしないの?
「もうゼロデイ(0day)とは呼ばないな、これからは3デイ(3day)と呼ぼう」
みんながクールダウン期間を設けるようになったら、問題を先送りにするだけじゃないのか?多くのユーザーが影響を受けて、その中の誰かが感染に気づいて報告するのを待つことになるわけだろ。
でも、みんながアップデートを遅らせるようになったら、感染を早期発見できる可能性が下がるんじゃないか?NPMパッケージを全件予防的にスキャンするのが可能なのか、どれくらいの計算リソースが必要なのかはよく分からないけど。
Dependabotのせいで、会社のセキュリティ担当者がやたらとアップデート、アップデートとうるさくなってるのが本当に嫌だ。Dependabotが言うことなら何でも盲信して、ドキュメントを読めば明らかに無関係な問題でも無理やり対応させようとする。どうやって政治的に立ち回ればいいのか分からないよ。頻繁すぎるアップデートは、結局のところ状況を悪化させるだけだと確信してる。
言語ごとのパッケージマネージャーが、90年代からLinuxディストリビューションのパッケージマネージャーがやってきたことを再発明しているのを見るのは、暗号資産界隈が金融規制を再発明しているのを見るくらい滑稽で面白いね。
でも、壊れたパッケージへのアップデートは許可されたままじゃないか。もし3日以内に新しいバージョンがリリースされても、クールダウン期間はリセットされないんだろ。結局、既知のバグがあるバージョンに更新しろっていうプルリクエストを受け取るだけになる。