Skip to content

feat(repo): add 7-day cooldown period for npm package releases#869

Merged
YusukeHirao merged 2 commits into
devfrom
chore/npm-cooldown
Apr 22, 2026
Merged

feat(repo): add 7-day cooldown period for npm package releases#869
YusukeHirao merged 2 commits into
devfrom
chore/npm-cooldown

Conversation

@YusukeHirao
Copy link
Copy Markdown
Member

@YusukeHirao YusukeHirao commented Apr 22, 2026

Summary

npmサプライチェーン攻撃対策として、公開から 7日未満 のパッケージをインストール・更新対象から除外するクールダウン期間を設定します(frontend-env#886 の展開)。

  • .yarnrc.ymlnpmMinimalAgeGate: 7d を追加(Yarn 4.10.0+)
  • .github/renovate.jsonminimumReleaseAge: "7 days" および internalChecksFilter: "strict" を追加

なぜ7日なのか

悪意あるパッケージの多くは公開から数時間〜数日以内に検出・削除されます。公開直後の短期間をブロックするだけで高い防御効果が得られます。

3日(Renovate の config:best-practices デフォルト)では防御期間として短く、14日以上は開発速度への影響が大きくなるため、7日を採用しています。Andrew Nesbitt も7日間のクールダウンの有効性について言及しています(Package Managers Need to Cool Down)。

参考資料

動作

ツール 動作
Yarn yarn install 時、公開7日未満のパッケージが含まれるとエラーで停止
Renovate 7日経過前はブランチ自体を作成しない(CVE対応のセキュリティ更新はバイパス)

Warning

Yarn 側には緊急時のバイパス手段がありません。
セキュリティパッチなど公開直後のパッケージをどうしても即座にインストールする必要がある場合は、.yarnrc.ymlnpmMinimalAgeGate を一時的にコメントアウトして対応してください。
対応後は必ず元に戻してください。

@YusukeHirao YusukeHirao requested a review from yusasa16 as a code owner April 22, 2026 05:16
@YusukeHirao YusukeHirao merged commit 41a0931 into dev Apr 22, 2026
2 checks passed
@YusukeHirao YusukeHirao deleted the chore/npm-cooldown branch April 22, 2026 08:29
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@yusasa16 yusasa16 Awaiting requested review from yusasa16 yusasa16 is a code owner

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@YusukeHirao