防御供应链攻击：主流包管理器正广泛引入“冷静期”机制

针对日益严峻的软件供应链攻击风险，技术界正在推行“依赖冷静期”（Dependency Cooldowns）机制。该功能通过设置7天左右的时间缓冲，防止自动化工具在包发布瞬间立即拉取可能包含恶意代码的版本。在过去一年中，JavaScript（如npm、pnpm）和Python（如uv、pip）生态系统迅速采纳了这一标准，旨在为安全研究人员争取检测时间。文章指出，这实际上是在模仿Linux发行版“先审核后分发”的安全模型，试图在缺乏人工门禁的现代开发流程中，通过时间延迟来构建防御底线。