依存関係のクールダウンはフリーライダーを生む

記事

• 依存関係の更新を先延ばしにすると、サプライチェーン攻撃を早期に検知する他のチームに「ただ乗り」していると主張
• 「Upload Queues」を提案 — パッケージレジストリでの公開前に必須の待機期間を設ける
• 負担を個々のチームではなく、レジストリ・パブリッシャー側に移す

ディスカッション

• tptacek は不在。議論の焦点は、クールダウンがリスクを分散するのか、ただ遅らせるだけなのかという点
• 反論：段階的ロールアウトは非対称であっても、社会全体にとってプラスだという意見
• CVE（共通脆弱性識別子）例外の問題：セキュリティパッチには迅速なリリースパスが必要で、それを攻撃者に悪用される恐れがある
• より良い代替案として「監査の共有」が提案されている — 誰かがレビューを公開した時点でクールダウンを終了する仕組み

HN（Hacker News）で議論を読む

原文（英語）: Dependency cooldowns turn you into a free-rider