Dependabot을 끄자

• Dependabot의 과도한 알림이 실제 보안 문제 해결보다 개발자의 시간을 낭비하게 만든다는 지적
• Go 생태계에서 발생한 사례처럼, 영향받지 않은 저장소에도 수천 개의 PR과 경고가 생성되어 혼란을 초래함
• govulncheck 기반 GitHub Action을 사용하면 실제로 취약한 코드만 탐지하고, 불필요한 경고를 제거할 수 있음
• 의존성 업데이트는 자동화된 PR보다 주기적 테스트와 최신 버전 검증으로 관리하는 것이 더 안전하고 효율적임
• 이러한 접근은 경고 피로(alert fatigue) 를 줄이고, 오픈소스 유지보수자의 부담을 완화하는 데 중요함

Dependabot의 문제점

• Dependabot은 보안 경고와 자동 PR을 대량 생성해 개발자가 실제로 중요한 문제를 구분하기 어렵게 함
  • Go 패키지 filippo.io/edwards25519의 사소한 수정에도 수천 개의 PR이 생성됨
  • 영향받지 않은 저장소(Wycheproof 등)에도 잘못된 보안 경고가 전달됨
• 경고에는 허위 CVSS 점수와 낮은 호환성 지표가 포함되어, 불필요한 불안감을 조성함
• 이러한 과도한 알림은 보안 대응의 신뢰도와 효율성을 저하시키는 원인으로 지적됨

govulncheck를 이용한 대안

• Go Vulnerability Database는 버전, 패키지, 심볼 단위의 세밀한 메타데이터를 제공
  • 예시로 GO-2026-4503 취약점은 Point.MultiScalarMult 심볼에만 영향을 미침
• govulncheck는 정적 분석을 통해 실제로 호출 가능한 취약 코드만 탐지
  • go mod why와 함께 사용 시, 간접 의존성의 영향 여부를 정확히 판단 가능
  • 검사 결과, 취약점이 존재하더라도 코드가 해당 심볼을 호출하지 않으면 경고하지 않음
• CLI(govulncheck -json)나 Go API(golang.org/x/vuln/scan)로 손쉽게 통합 가능

GitHub Actions로의 대체

• Dependabot 대신 govulncheck GitHub Action을 설정해 매일 자동 검사 수행
  • 실제 취약점이 발견될 때만 알림을 발송
  • 자동 PR을 생성하지 않아, 개발자가 중요한 보안 이슈에 집중할 수 있음
• 잘못된 경고를 줄이면 보안 경고 피로(alert fatigue) 를 완화하고, 대응 품질을 높일 수 있음
• 오픈소스 유지보수자에게 불필요한 PR을 보내는 문제도 해소됨

의존성 업데이트 관리 방식

• 의존성은 각 프로젝트의 개발 주기에 맞춰 일괄적으로 관리해야 함
  • 매일 최신 버전으로 테스트를 수행하되, 실제 업데이트는 필요 시점에만 진행
  • Go에서는 go get -u -t ./..., npm에서는 npm update 명령으로 최신 버전 테스트 가능
• 이 방식은 보안 취약점 대응 속도와 안정성을 모두 확보
  • 최신 버전 테스트를 통해 호환성 문제를 조기에 발견
  • 악성 코드가 포함된 의존성이 즉시 배포되지 않도록 차단
• geomys/sandboxed-step을 이용하면 CI 환경에서 gVisor로 격리 실행 가능

결론 및 지원 배경

• Dependabot의 자동화는 보안보다 소음(noise) 을 유발하는 경우가 많음
• govulncheck와 주기적 테스트 기반 접근이 더 정확하고 지속 가능한 보안 관리 방법
• 글 작성자의 오픈소스 유지보수는 Geomys 조직을 통해 Ava Labs, Teleport, Tailscale, Sentry 등의 후원을 받아 지속됨
• 이러한 모델은 오픈소스 생태계의 안정적 유지와 보안 품질 향상에 기여함