2025 年 11 月的时候，William Woodruff 写了一篇文章 We should all be using dependency cooldowns，指出大部分供应链攻击都可以通过设置一个冷却期（即依赖自发布到被认为适合使用的时间窗口）来预防。 
作者分析了 10 起近期攻击，8 起的攻击窗口小于 1 周（从本月的一连串供应链攻击中也可以看出来非常拟合），而其中知名的 xz-utils 事件是唯一超过 2 周的例外。 
因此设置一个简单的冷却期就可以预防大多数供应链攻击了，例如说 Dependabot 就支持。 
而本月初 Andrew Nesbitt 写了另一篇文章 Package Managers Need to Cool Down，这个月发生的一连串供应链攻击让这两篇文章的观点更加突出了。 
这篇文章指出许多语言生态的包管理器已经迅速采取了措施，加入了「冷却期」的设置...