GitHub’s beveiligingstool Dependabot ligt onder vuur na stevige kritiek vanuit de Go-community. Aanleiding is een recente beveiligingsupdate in een cryptografiebibliotheek. Die leidde tot duizenden automatische meldingen en codevoorstellen in projecten die in de praktijk niet kwetsbaar bleken te zijn.
Dependabot, een door GitHub ontwikkelde tool die repositories automatisch scant op kwetsbare software-afhankelijkheden en daar direct beveiligingsmeldingen en pull requests voor aanmaakt, wordt door veel organisaties ingezet als vast onderdeel van hun DevSecOps-aanpak. Juist die automatisering staat nu ter discussie.
De kritiek, waarover The Register schrijft, kwam van Filippo Valsorda, voormalig verantwoordelijke voor het Go-securityteam bij Google en tegenwoordig beheerder van meerdere cryptografische onderdelen binnen de Go-standaardbibliotheek. Hij publiceerde onlangs een beveiligingsfix voor een externe Go-bibliotheek die door veel projecten indirect wordt gebruikt. De wijziging betrof één regel code in een specifieke functie, maar had geen effect op de meeste implementaties omdat die functie doorgaans niet wordt aangeroepen.
Toch sloeg Dependabot grootschalig alarm. Duizenden repositories kregen automatisch pull requests en waarschuwingen, inclusief een hoge kwetsbaarheidsscore en signalen over mogelijke compatibiliteitsproblemen. Volgens Valsorda toont dit aan dat de tool vooral controleert of een afhankelijkheid aanwezig is, zonder te analyseren of de kwetsbare code daadwerkelijk bereikbaar is binnen een project. Dat leidt volgens hem tot ruis en verminderde aandacht voor echte risico’s.
Dependency-scanning is geen risicobeoordeling
De discussie raakt een breder probleem binnen enterprise IT. Automatische dependency-scanners worden vaak gezien als afdoende beveiligingsmaatregel, terwijl ze geen inzicht geven in de daadwerkelijke impact van een kwetsbaarheid. Echte security vereist volgens critici context, zoals de vraag of productieomgevingen risico lopen, of geheimen moeten worden vervangen en of klanten geïnformeerd moeten worden.
Ook het automatisch bijwerken van afhankelijkheden krijgt kritiek. Het continu doorvoeren van updates buiten de reguliere ontwikkelcyclus kan stabiliteitsproblemen veroorzaken en vergroot het risico op supply-chain aanvallen, waarbij kwaadaardige code via ogenschijnlijk legitieme updates wordt verspreid. Gerichte updates, getest in afgeschermde CI-omgevingen, zouden effectiever zijn.
Op Hacker News leidde het onderwerp tot een uitgebreide discussie, waarbij veel deelnemers de kritiek onderschreven. Meerdere reacties wezen erop dat klanten en auditors sterk leunen op scanresultaten en weinig ruimte laten voor technische nuance. Het argument dat kwetsbare code niet wordt gebruikt, wordt in audits vaak niet geaccepteerd. Volgens commentatoren laat dit zien hoe compliance-gedreven security steeds verder af kan komen te staan van de technische werkelijkheid.
Tegelijkertijd werd ook nuance aangebracht. In omgevingen met beperkte middelen biedt Dependabot volgens sommigen alsnog meer waarde dan helemaal geen inzicht. De discussie benadrukt vooral dat automatische tools nuttig kunnen zijn, maar geen vervanging vormen voor inhoudelijke analyse en expertise.