O Bug da Automação Excessiva

Em meus anos de arqueologia digital, aprendi que a robustez de um sistema como um mainframe não vinha da velocidade, mas da precisão. Hoje, vivemos a era do imediatismo automático, e o Dependabot do GitHub tornou-se o exemplo perfeito disso. Filippo Valsorda, ex-chefe de segurança de Go no Google, declarou guerra à ferramenta, chamando-a de uma 'máquina de ruído'. Mas o que isso significa para você?

O que é o Dependabot?

Para desbugar o termo: o Dependabot é uma ferramenta que varre o seu código em busca de bibliotecas (pedaços de código prontos que você usa) que tenham falhas conhecidas. Quando encontra algo, ele abre um 'Pull Request' (um pedido de alteração) automaticamente para você atualizar a versão. Parece ótimo, certo? Na teoria, sim.

O Momento 'Desbugado': Por que Filippo está bravo?

O problema é que a automação perdeu o contexto. Recentemente, Valsorda corrigiu uma única linha em uma biblioteca de criptografia. O Dependabot imediatamente disparou milhares de alertas para desenvolvedores que nem sequer usavam a função afetada. Imagine receber um alerta de recall para o freio de um carro que você só usa para ouvir rádio na garagem. Isso gera a 'fadiga de alertas': quando tudo é urgente, nada é urgente.

Sabe qual a diferença entre um robô e um programador de COBOL? O robô avisa que a biblioteca mudou; o programador de COBOL avisa se isso realmente vai quebrar o banco. Aliás, falando em robôs, sabe por que o robô foi ao terapeuta? Porque ele tinha muitos 'scripts' internos mal resolvidos! Pois é, eu avisei que a piada era ruim.

E daí? Qual o impacto real?

Confiar cegamente em ferramentas que inventam pontuações de compatibilidade (como o Dependabot fez com um número de 73% sem fundamento) pode dar uma falsa sensação de segurança. Se você gasta todo seu tempo fechando alertas inúteis, não terá tempo para analisar vulnerabilidades reais que exigem rotação de chaves e notificações de usuários.

Sua Caixa de Ferramentas: O que fazer agora?

Considere o govulncheck: Se você trabalha com Go, esta ferramenta é muito mais inteligente, pois verifica se o seu código realmente executa a parte vulnerável da biblioteca.
Ciclos de Desenvolvimento: Não atualize tudo no segundo em que sai. Integre as atualizações ao seu ciclo normal de desenvolvimento.
Sandbox de CI: Teste as atualizações em um ambiente isolado (sandbox) antes de deixar que qualquer automação toque no seu código de produção.

Comentários

{{ totalComments !== null ? totalComments : comments.length }} comentários

{{ Math.max(0, commentCharLimit - (newCommentText || '').length) }} caracteres restantes

Seja o primeiro a comentar.

{{ c.user_name }}

{{ Math.max(0, commentCharLimit - (editingText || '').length) }} caracteres restantes

Fim dos comentários

Página não encontrada

{{ sp.title }}

{{ post.title }}

O Bug da Automação Excessiva

O que é o Dependabot?

O Momento 'Desbugado': Por que Filippo está bravo?

E daí? Qual o impacto real?

Sua Caixa de Ferramentas: O que fazer agora?

Página não encontrada

{{ sp.title }}

O Bug da Automação Excessiva

O que é o Dependabot?

O Momento 'Desbugado': Por que Filippo está bravo?

E daí? Qual o impacto real?

Sua Caixa de Ferramentas: O que fazer agora?

{{ rn.title }}

{{ rn.title }}