Интересно GitHub Dependabot подвергнут критике за избыточные обновления.

[Admin]

​

Автоматизированный инструмент GitHub Dependabot, предназначенный для обновления зависимостей, стал объектом резкой критики со стороны разработчиков.

Филиппо Вальсорда, сопровождающий криптографических библиотек Go, заявил, что Dependabot часто создаёт больше проблем, чем решает.

После исправления уязвимости в библиотеке filippo.io/edwards25519 Dependabot начал массово создавать pull request в тысячах репозиториев, хотя реальной угрозы для многих проектов не было. Вальсорда отметил, что система действует слишком грубо, не проверяя, используется ли уязвимая функция в конкретном проекте. Это приводит к усталости от предупреждений и снижению уровня безопасности. Разработчик рекомендует использовать более точные инструменты, такие как govulncheck, которые анализируют достижимость уязвимости в реальном коде. Также он подчеркнул, что автоматическое обновление зависимостей без оценки последствий может привести к рискам, включая внедрение вредоносного кода.