Skip to content

ci(dependabot): dodaj cooldown 3d/7d dla wszystkich ekosystemów#175

Merged
mpasternak merged 1 commit into
devfrom
security/dependabot-cooldown
Apr 27, 2026
Merged

ci(dependabot): dodaj cooldown 3d/7d dla wszystkich ekosystemów#175
mpasternak merged 1 commit into
devfrom
security/dependabot-cooldown

Conversation

@mpasternak
Copy link
Copy Markdown
Member

@mpasternak mpasternak commented Apr 27, 2026

Podsumowanie

PR 3/12 z serii pypi-security-best-practices — praktyka #2: Install with Cooldown.

Co się zmienia

.github/dependabot.yml — dodaje cooldown: block dla wszystkich trzech
ekosystemów (Python/uv, GitHub Actions, Docker). Default 3 dni, major 7 dni.

Dlaczego

Dependabot do tej pory otwierał PR-y natychmiast po publikacji nowej wersji.
W praktyce każdy compromise typu supply-chain trafiał do nas w pierwszych
godzinach życia złośliwego pakietu — zanim community / PyPI quarantine
zdołały zareagować.

Konkretny przykład z dokumentu źródłowego: atak LiteLLM trwał 2.5h, 119k
pobrań złośliwego pakietu zanim PyPI go zaquaranteinowało. Z 3-dniowym
cooldownem ten attack window jest praktycznie zamknięty.

Aktualizacje security (CVE) automatycznie omijają cooldown — Dependabot
ma to wbudowane, więc patche bezpieczeństwa nadal trafiają do nas
natychmiast.

Plan testowy

  • YAML lint pre-commit — passed.
  • Następny tygodniowy run Dependabot (poniedziałek) wystawi PR-y
    respektujące cooldown.

🤖 Generated with Claude Code

@mpasternak
ci(dependabot): dodaj cooldown 3d/7d dla wszystkich ekosystemow
dfb5e76 
Praktyka #2 z lirantal/pypi-security-best-practices (Install with Cooldown).

Dependabot do tej pory otwieral PR-y natychmiast po publikacji nowej wersji.
W praktyce kazdy compromise typu supply-chain trafial do nas w pierwszych
godzinach zycia zlosliwego pakietu - zanim community / PyPI quarantine zdolaly
zareagowac (LiteLLM: 2.5h, 119k pobran zanim Trigger PyPI quarantine).

Po tej zmianie:
- 3 dni cooldown dla minor/patch (default)
- 7 dni cooldown dla major (wieksze ryzyko regression + wiecej oczu)
- security/CVE updates automatically bypass cooldown (Dependabot built-in)

Wszystkie 3 ekosystemy: uv (Python), github-actions, docker base images.
This was referenced Apr 27, 2026
Merged
Merged
Merged
Closed
@mpasternak mpasternak merged commit 32a286b into dev Apr 27, 2026
9 checks passed
@mpasternak mpasternak deleted the security/dependabot-cooldown branch April 28, 2026 15:47
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@mpasternak