La base de données d'avis de vulnérabilités : un système à bout de souffle

Introduction

La base de données d'avis de vulnérabilités de GitHub a connu un record de publication en mai 2026, avec plus de 1 560 avis examinés, soit plus de cinq fois la production mensuelle habituelle. Cependant, ce volume sans précédent n'a pas suffi à suivre le rythme des nouvelles vulnérabilités signalées.

Contexte Technique

Le système de vulnérabilités a connu un changement fondamental ces derniers mois, avec une augmentation simultanée des signalements de vulnérabilités privées, des avis de dépôt et des demandes de CVE. Cela a poussé l'ensemble du système à une nouvelle échelle de fonctionnement. Les temps de révision pour les nouveaux avis sont plus longs en raison de l'augmentation significative du volume et de la complexité des vulnérabilités.

Les données montrent que les signalements de vulnérabilités privées ont augmenté de ~550/sem à plus de 3 000/sem, les avis de dépôt ont augmenté de ~650/sem à plus de 5 000/sem, et les demandes de CVE ont atteint près de 4 000 en mai seul, soit près de 10 fois plus qu'en 2025.

Analyse et Implications

L'impact de cette augmentation du volume de vulnérabilités est important, car les temps de publication plus longs peuvent augmenter les fenêtres d'exposition. Cependant, la qualité des avis n'a pas changé, et les avis examinés sont toujours validés par des humains. Les outils en aval peuvent toujours compter sur la qualité des données sans validation supplémentaire.

Le problème est lié au débit du système, qui est conçu pour gérer un certain volume et une certaine complexité. Les curateurs doivent effectuer des investigations approfondies pour valider les avis, notamment pour les packages qui nécessitent une disambiguation, la reconstruction de la plage de versions ou la vérification de la cohérence des données en amont.

Perspective

Il est essentiel de surveiller l'évolution du paysage des vulnérabilités et de s'adapter aux changements. La communauté peut aider en soumettant des données de vulnérabilités complètes, en coordonnant étroitement avec les maintainers et les chercheurs, et en demandant des CVE uniquement lorsqu'il y a une intention claire de publication.

GitHub travaille à améliorer la qualité des contributions de la communauté et à accélérer le processus de révision. Les contributions de la communauté sont examinées selon les mêmes normes de validation que les autres avis, et les soumissions de haute qualité sont identifiées plus tôt et examinées de manière plus cohérente.