Filippo Valsorda appelle à désactiver Dependabot au profit de govulncheck pour des alertes vulnérabilités pertinentes
Source: billet de blog de Filippo Valsorda (filippo.io), publiĂ© le 20 fĂ©vrier 2026. Contexte: retour dâexpĂ©rience sur la gestion des vulnĂ©rabilitĂ©s et des mises Ă jour de dĂ©pendances dans lâĂ©cosystĂšme Go, avec un cas concret liĂ© Ă un correctif cryptographique. â âą Lâauteur affirme que Dependabot gĂ©nĂšre une forte charge dâalertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilitĂ© » alarmiste), en particulier pour Go. Exemple Ă lâappui: aprĂšs un correctif de sĂ©curitĂ© publiĂ© pour filippo.io/edwards25519 (mĂ©thode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dĂ©pĂŽts non affectĂ©s, y compris un faux avertissement pour le dĂ©pĂŽt Wycheproof qui nâimportait que le sous-paquet non concernĂ© (filippo.io/edwards25519/field). ...