Хьюстон, у нас спам. GitHub завалил программистов бесполезными правками и почему это опасно
NewsMakerОдин из главных экспертов по безопасности Go призывает отключить GitHub Dependabot.
Поддерживать зависимости в актуальном состоянии давно считается базовой практикой безопасности. Но один из сопровождающих ключевых криптографических библиотек Go заявил, что GitHub Dependabot нередко приносит больше шума, чем пользы, и в ряде случаев инструмент лучше вовсе отключить.
С резкой критикой выступил Филиппо Вальсорда, бывший руководитель команды безопасности Go в Google и нынешний сопровождающий криптографических пакетов стандартной библиотеки Go. Поводом стало недавнее исправление уязвимости в библиотеке filippo.io/edwards25519, которую применяют для криптографии EdDSA. После публикации патча Dependabot начал массово создавать pull request в тысячах репозиториев, хотя реальной угрозы для многих проектов не было.
По словам Вальсорды, автоматическая система сработала слишком грубо: GitHub увидел наличие зависимости и начал рассылать предупреждения без проверки, затрагивает ли проблема конкретный пакет и используется ли уязвимая функция в коде. Вместе с потоком pull request сервис присвоил уязвимости, как выразился разработчик, бессмысленную оценку CVSS v4 и показал совместимость на уровне 73%, намекнув на 27-процентный риск поломки. Вальсорда назвал такую оценку абсурдной, поскольку исправление затронуло всего одну строку в редко используемом методе MultiScalarMult.
Ситуация оказалась особенно показательной из-за того, как библиотека обычно попадает в проекты. Часто зависимость появляется через драйвер MySQL для Go, однако такой сценарий не использует исправленную функцию и потому не подвержен проблеме. Несмотря на отсутствие реальной опасности, Dependabot все равно начал рассылать обновления и предупреждения. По мнению Вальсорды, подобное поведение превращает сервис в «машину шума» и провоцирует усталость от предупреждений, а усталость от предупреждений уже напрямую снижает уровень защиты.
Поддерживать зависимости в актуальном состоянии давно считается базовой практикой безопасности. Но один из сопровождающих ключевых криптографических библиотек Go заявил, что GitHub Dependabot нередко приносит больше шума, чем пользы, и в ряде случаев инструмент лучше вовсе отключить.
С резкой критикой выступил Филиппо Вальсорда, бывший руководитель команды безопасности Go в Google и нынешний сопровождающий криптографических пакетов стандартной библиотеки Go. Поводом стало недавнее исправление уязвимости в библиотеке filippo.io/edwards25519, которую применяют для криптографии EdDSA. После публикации патча Dependabot начал массово создавать pull request в тысячах репозиториев, хотя реальной угрозы для многих проектов не было.
По словам Вальсорды, автоматическая система сработала слишком грубо: GitHub увидел наличие зависимости и начал рассылать предупреждения без проверки, затрагивает ли проблема конкретный пакет и используется ли уязвимая функция в коде. Вместе с потоком pull request сервис присвоил уязвимости, как выразился разработчик, бессмысленную оценку CVSS v4 и показал совместимость на уровне 73%, намекнув на 27-процентный риск поломки. Вальсорда назвал такую оценку абсурдной, поскольку исправление затронуло всего одну строку в редко используемом методе MultiScalarMult.
Ситуация оказалась особенно показательной из-за того, как библиотека обычно попадает в проекты. Часто зависимость появляется через драйвер MySQL для Go, однако такой сценарий не использует исправленную функцию и потому не подвержен проблеме. Несмотря на отсутствие реальной опасности, Dependabot все равно начал рассылать обновления и предупреждения. По мнению Вальсорды, подобное поведение превращает сервис в «машину шума» и провоцирует усталость от предупреждений, а усталость от предупреждений уже напрямую снижает уровень защиты.