Welcome to the Strip Mining Era of OSS Security
Les outils d'analyse alimentés par les grands modèles de langage font monter en flèche le nombre et la qualité des rapports de vulnérabilités, révélant massivement des failles dans les codes publics. Metabase note un changement net, passant d'environ dix signalements par mois à dix par semaine, beaucoup étant légitimes et parfois produits ou formatés par des LLM. Pour les mainteneurs OSS, cela implique une phase réactive douloureuse à court terme où toute vulnérabilité divulguée doit être corrigée immédiatement car elle est probablement déjà facilement découvrable. À plus long terme, la prolifération de ces scanners devrait améliorer la sécurité du logiciel mais atténue l'avantage historique de l'open source et incite certains projets commerciaux à refermer leur code. Les recommandations pratiques sont d'automatiser et accélérer les correctifs, multiplier les analyses, renforcer la défense en profondeur, surveiller et figer les dépendances et appliquer le principe du moindre privilège.