Фальшивые отчёты о безопасности представляют угрозу для open source: автоматизация приводит к хаосу.
В последние недели наблюдается тревожный рост количества недостоверных и некачественных отчётов об уязвимостях. Эти отчёты, которые кажутся безобидными на первый взгляд, на самом деле наносят значительный ущерб проектам и разработчикам.
Проекты, такие как curl и urllib3, уже столкнулись с этой проблемой. Например, в случае с urllib3, сканер «обнаружил» уязвимость в использовании SSLv2, хотя этот протокол упоминается в коде только для его отключения. Это свидетельствует о том, что автоматизированные системы не всегда способны отличить истинные уязвимости от ложных.
Последствия этой проблемы очевидны: разработчики вынуждены тратить время на проверку каждого ложного «обнаружения», что приводит к усталости, стрессу и выгоранию. Вместо улучшения функционала и добавления полезных функций, которые ожидают пользователи, разработчики оказываются втянутыми в бессмысленную бюрократию, где ложные уязвимости требуют внимания, а реальные угрозы остаются без должного рассмотрения.
Необходимо принять меры для предотвращения распространения ложных отчётов. Автоматизация должна быть осмысленной и контролируемой, а попытки завалить проекты некачественными данными должны быть пресечены. Использование капчи, ограничение отправки и проверка на человеческий фактор могут помочь в решении этой проблемы.
Самое тревожное заключается в том, что токсичные отчёты не только истощают ресурсы разработчиков, но и создают риск того, что важная угроза может быть проигнорирована из-за усталости от некачественных заявок.