Source: billet de blog de Filippo Valsorda (filippo.io), publié le 20 février 2026. Contexte: retour d’expérience sur la gestion des vulnérabilités et des mises à jour de dépendances dans l’écosystème Go, avec un cas concret lié à un correctif cryptographique.

• L’auteur affirme que Dependabot génère une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilité » alarmiste), en particulier pour Go. Exemple à l’appui: après un correctif de sécurité publié pour filippo.io/edwards25519 (méthode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dépôts non affectés, y compris un faux avertissement pour le dépôt Wycheproof qui n’importait que le sous-paquet non concerné (filippo.io/edwards25519/field).

• Le billet détaille l’entrée de la Go Vulnerability Database pour cette vulnérabilité (identifiée par CVE-2026-26958, correctif en v1.1.1), laquelle fournit des métadonnées par module, package et symbole. L’auteur souligne que des scanners « sérieux » filtrent a minima au niveau package, et que les meilleurs appliquent une analyse de portées de symboles (reachability) via analyse statique — ce que fait govulncheck. Illustration: govulncheck détecte la dépendance indirecte via github.com/go-sql-driver/mysql, mais conclut à 0 vulnérabilité affectant le code car le symbole vulnérable n’est pas atteignable.

• Proposition de remplacement: une GitHub Action exécutant quotidiennement govulncheck (avec go run golang.org/x/vuln/cmd/govulncheck@latest ./...) pour notifier uniquement en cas de vulnérabilités réellement pertinentes. L’auteur insiste sur le coût de la fatigue d’alerte et l’impact négatif sur les mainteneurs open source quand des outils bruyants poussent des mises à jour non justifiées.

• Gestion des mises à jour de dépendances: plutôt que d’appliquer automatiquement chaque mise à jour, il recommande d’exécuter la CI quotidiennement contre les dernières versions (par ex. go get -u -t ./... avant les tests) afin de détecter rapidement les ruptures sans intégrer immédiatement les mises à jour. Il met aussi en avant un bénéfice sécurité côté chaîne d’approvisionnement: le code potentiellement malveillant reste cantonné à la CI, avec une mitigation supplémentaire via un sandbox CI (ex. geomys/sandboxed-step fondé sur gVisor).

• Conclusion: l’article est une recommandation pratique visant à remplacer Dependabot par govulncheck et à dissocier la veille vulnérabilité des mises à jour automatiques, afin de réduire le bruit et permettre une triade sécurité plus sérieuse.

IOCs: Aucun mentionné.

TTPs: Aucun mentionné (discussion focalisée sur la détection/filtrage des vulnérabilités et la CI).

🔗 Source originale : https://words.filippo.io/dependabot/