Dependabot 以生命周期终止为由,于 2026 年 6 月 23 日停止支持 Python 3.9。如果延迟升级,组织将面临更大的安全风险。
Dependabot 于 2026 年 6 月 23 日正式终止对 Python 3.9 的支持,与该版本的生命周期终止 (EOL) 状态保持一致。此举意味着依赖 Python 3.9 的开发人员可能不再通过 Dependabot 接收自动依赖项更新,从而增加了未修补漏洞和兼容性问题的风险。
Python 3.9 于 2020 年 10 月 5 日发布,遵循 Python 的五年生命周期,全面支持持续 18 个月,仅安全更新持续到 2025 年 10 月 31 日。最终版本 Python 3.9.25 标志着所有上游支持的结束,冻结了该分支,使其免受未来错误修复或补丁的影响。从那时起,包括 Heroku 在内的主要平台和工具(从 2026 年 1 月 7 日起停止支持 Python 3.9 版本)都强制执行了中断。
Dependabot 停止支持 Python 3.9 反映了软件生态系统中更广泛的趋势。软件包维护者越来越多地从他们的测试矩阵中删除 Python 3.9,而仍在使用该版本的企业却面临着更高的安全风险。如果没有 Dependabot 更新,Python 3.9 环境中过时的依赖项可能会让组织面临无法修补的漏洞,从而加剧合规性和运营风险。
对于仍然依赖 Python 3.9 的开发人员和公司来说,当务之急是迁移到受支持的版本,例如 Python 3.10 或更高版本。 Red Hat Enterprise Linux (RHEL 8/9) 等托管环境提供特定于供应商的向后移植以提供扩展支持,但这些通常是为企业客户量身定制的,可能无法满足每个组织的需求。
Python 3.9 的停产不仅仅是一个技术里程碑,它还敲响了组织重新评估其开发工作流程和基础设施的警钟。像 Dependabot 这样的工具对于自动化依赖管理至关重要,失去对过时版本的支持凸显了保持核心平台更新最新的重要性。延迟升级的成本(无论是安全漏洞、兼容性问题还是无法使用现代工具)远远超过转换到受支持版本所需的工作量。
随着 Python 3.9 逐渐过时,开发人员不仅应该利用这个机会进行升级,还应该采用最佳实践来保证其环境面向未来。积极主动地跟踪语言生命周期并与支持的版本保持一致将减轻干扰并确保对 Dependabot 等关键生态系统工具的访问。