CVE付きのセキュリティアップデートはdependabotのcooldown期間を無視して更新pull requestが作成される
初めて見る状態になっていて気付いたshokai.icon
同じライブラリのプルリクが2つ発生
Bump axios from 1.11.0 to 1.12.1 #7797
日本時間 2025/9/14 12:58にopenされたpull request
Bump axios from 1.11.0 to 1.12.2 #7800で発生
日本時間 2025/9/15 17:17にopenされたpull request
patch version違いでDependabotが2つpull requestを建ててきた
同時に2つがopen状態になっている
通常は新しい方だけがopenされ、古い方はcloseされるはず
patch versionは3日間待つように設定したdependabotのcooldownオプションを破ってきている
npmリリースから20時間しか経過していない
https://github.com/axios/axios/releases/tag/v1.12.2
https://www.npmjs.com/package/axios/v/1.12.2
https://scrapbox.io/files/68e379a24ca26aeca13004f9.png
なぜ3日のcooldownを破って20時間でpatch version updateが来たのか?
おそらく、CVEが発行された重大なセキュリティアップデートだからshokai.icon
Axios is vulnerable to DoS attack through lack of data size check · CVE-2025-58754 · GitHub Advisory Database · GitHub
cooldown optionとセキュリティアップデートの関係・ルールに、明文化されたルールは無いshokai.icon
https://docs.github.com/en/code-security/dependabot/working-with-dependabot/dependabot-options-reference#cooldown- を読んでもわからなかった
事実としてページタイトル通りの挙動になっているだけである
いやーしかし https://github.com/nota/scrapbox/pull/7800 や https://github.com/nota/scrapbox/pull/7797 を見ても、CVE付きのセキュリティアップデートだってわからないよな
https://scrapbox.io/files/68e379aa9349477070361e79.png
しかしライブラリ更新レビュー手順書なら、それを説明してくれる
https://scrapbox.io/files/68e379bea5ac2acec9cef6e7.png
いつリリースされたバージョンかという説明も加えたいshokai.icon
これと同等の機能は、pnpmのminimumReleaseAgeやrenovateでminimumReleaseAgeを設定してnpmのパッケージの公開直後に起きる問題を回避するには無いようだ