/
工具评估 关键字列表
Go语言库维护者批评GitHub的Dependabot是"噪音制造机"
Go库维护者Filippo Valsorda呼吁开发者关闭GitHub的Dependabot工具,认为其误报问题会导致"警报疲劳"从而降低安全性。Valsorda曾负责Google的Go安全团队,目前维护Go标准库的加密包。他发布一个安全修复后,Dependabot对未受影响的代码库开启了数千个拉取请求,并生成了"无意义的CVSS评分"。他批评该工具只检查依赖关系是否存在,而不验证受影响的函数是否真正被使用,建议使用govulncheck等静态分析工具替代。
白皮书
京公网安备 11010802021500号
