Filippo.io'dan Filippo, Dependabot'ın özellikle Go ekosistemindeki güvenlik uyarıları için "gürültü makinesi" olduğunu ve faydalı işleri engellediğini savunuyor. Yazar, Dependabot'ı kapatmayı ve yerine iki adet zamanlanmış GitHub Actions kullanmayı öneriyor: biri govulncheck çalıştırmak, diğeri ise bağımlılıkların en son sürümüne karşı test paketini çalıştırmak. Bu yaklaşımın, geliştiricilerin gereksiz bildirimlerle boğulmak yerine gerçek güvenlik sorunlarına odaklanmasını sağlayacağını belirtiyor.
Makalede, filippo.io/edwards25519 paketindeki bir güvenlik açığı üzerinden bir vaka çalışması sunuluyor. Bu açığın, paketin çok az kullanılan bir metodunu etkilemesine rağmen, Dependabot'ın etkilenmeyen binlerce depoya güncelleme PR'ları açtığı ve anlamsız CVSS puanları ile yanıltıcı uyumluluk skorları gösterdiği belirtiliyor. Hatta, etkilenen paketi hiç içermeyen bir depo için bile uyarı gönderildiği vurgulanıyor. Bu durum, Dependabot'ın filtreleme yeteneğinin yetersizliğini ve geliştiriciler için yarattığı gereksiz iş yükünü gözler önüne seriyor.
Yazar, saldırganların eski güvenlik açıklarını kullanmasını engellemek için bu tür bir "zahmetin" kaçınılmaz olmadığını reddediyor. Bunun yerine, Go Güvenlik Veritabanı gibi zengin sürüm, paket ve sembol meta verileri içeren ciddi güvenlik tarayıcılarının kullanılmasını öneriyor. Bu tür araçlar, yalnızca etkilenen paketleri değil, aynı zamanda belirli sembolleri veya kullanılan fonksiyonları da dikkate alarak çok daha alakalı ve filtrelenmiş uyarılar sağlayabilir. Bu sayede, geliştiriciler gerçekten önemli olan güvenlik açıklarına odaklanabilir ve zamanlarını daha verimli kullanabilirler.
Dependabot'ın yarattığı gereksiz gürültü ve yanlış pozitifler, geliştiricilerin gerçek güvenlik tehditlerine odaklanmasını engelleyerek daha etkili ve hedefe yönelik güvenlik çözümlerine geçişin önemini ortaya koyuyor.