Фальшивые отчёты о безопасности грозят разрушить open source: автоматизация ведёт к хаосу

Открытый исходный код, с его духом коллективной разработки и стремлением к лучшему, вдруг оказался на грани кризиса. И виноваты в этом не хакеры и даже не сложность кодирования, а беспощадная автоматизация. В последние недели количество фальшивых и некачественных отчётов об уязвимостях растёт, как сорняки на огороде. И каждый такой отчёт, как оказалось, — это не просто бумажная бюрократия, а настоящий удар по времени и нервам разработчиков.

Проекты, такие как curl и urllib3, уже вынуждены были бороться с лавиной ложных отчётов, которые сначала выглядят вполне убедительно. Взять хотя бы недавний случай с urllib3: сканер «нашёл» уязвимость в использовании SSLv2, хотя этот протокол в коде упоминается лишь для его отключения. Да, автоматика, похоже, не различает, где добро, а где зло. Но к чему приводит эта бесконечная ошибка?

Ответ прост — к усталости, стрессу и выгоранию. Разработчики вынуждены тратить время на проверку каждого из таких ложных «обнаружений», и каждый раз оказываться с пустыми руками. В итоге, вместо улучшения функционала и добавления полезных фич, которые пользователи действительно ждут, разработчики погружаются в бессмысленные бюрократические дебри, где ложные уязвимости требуют внимания, а истинные угрозы рискуют быть проигнорированными.

Что нужно сделать? Платформам необходимо принять меры. Нет больше места для спама, замаскированного под отчёты о безопасности. Автоматизация должна быть осмысленной и в меру контролируемой, а все попытки завалить проекты ложными данными — пресечены на корню. Капча, ограничение отправки, проверка на человеческий фактор — всё это не только возможно, но и необходимо.

Самое пугающее, что токсичные отчёты не только истощают ресурсы разработчиков, но и создают настоящий риск: в какой-то момент усталость от некачественных заявок приведёт к тому, что важная угроза будет просто проигнорирована.