「新しい依存は3日待つ」GitHubがDependabotの安全弁を標準化――サプライチェーン攻撃の初動封じ のサムネイル
SUPPLY CHAIN / サプライチェーン 重要度 中 2026-07-15

「新しい依存は3日待つ」GitHubがDependabotの安全弁を標準化――サプライチェーン攻撃の初動封じ

⏱ 約 2 分 view 10 like 0 LOG_DATE:2026-07-15
目次 / TOC

GitHubは7月15日、依存パッケージを自動で更新する「Dependabot version updates」に、公開されたばかりのバージョンをすぐには取り込まない「クールダウン(待機期間)」を標準で適用すると発表した。新しいパッケージが世に出てから最低3日間は、更新用のプルリクエストを作らない。これまで任意設定だった安全弁が、既定でオンになる。

何が変わったのか #

Dependabotは、ライブラリに新しいバージョンが出ると自動で更新のプルリクエストを作り、開発者がマージするだけで依存を最新に保てる仕組みだ。今回の変更で、公開から3日未満のバージョンはこのプルリクエスト作成の対象から外れる。すでに使えたクールダウン設定が、明示的に指定しなくても効くようになった形だ。GitHubは「公開直後のパッケージに悪意あるコードや重大な不具合が紛れていた場合、発覚する前に取り込んでしまう危険を抑える」と説明している。

ハッカー視点:「即時汚染」の窓をふさぐ #

近年のサプライチェーン攻撃は、正規ライブラリのメンテナアカウントを乗っ取り、悪意あるバージョンを公開する手口が定番になっている。怖いのはその後だ。CIや自動更新が「新しいバージョン=善」と信じ込み、数分で世界中のプロジェクトに取り込んでしまう。攻撃者にとっては、公開から発覚までのわずかな時間が最大の稼ぎ時になる。

3日の待機は、この初動の窓をふさぐ。スキャナーや利用者が不審なバージョンを通報し、レジストリから削除されるまでの時間を稼げるからだ。多くの悪性パッケージは公開から数時間で見つかって消される。そこを自動で待てるだけでも、被害に遭う確率は大きく下がる。

ただし万能ではない。3日を超えて潜伏する巧妙な版や、既存バージョンそのものの改ざんには効かない。クールダウンはあくまで「初動を遅らせて、人間と検知の仕組みに時間を渡す」防御だ。依存の棚卸しや署名検証と組み合わせて、はじめて意味を持つ。

𝕏 ポスト B! はてブ
Post Share LINE B!

COMMENTS 0

まだコメントはありません。最初のコメントを投稿しよう。

コメントを投稿