Desative o Dependabot: Menos Ruído, Mais Segurança Real

O Dependabot sobrecarrega as equipes com pull requests barulhentos e alertas de segurança enganosos, e em projetos Go, raramente melhora a segurança real. Filippo Valsorda detalha os motivos: os alertas frequentemente não têm relação com o risco real, não oferecem filtragem em nível de pacote ou símbolo, e geram tamanha alert fatigue que as equipes acabam ignorando tudo, inclusive os alertas realmente importantes. Sua configuração recomendada utiliza duas GitHub Actions agendadas como alternativa. A primeira executa o govulncheck para varredura de vulnerabilidades baseada em alcançabilidade (reachability-based). A segunda executa testes diariamente contra as versões mais recentes das dependências para detectar falhas precocemente, sem forçar upgrades constantes. Juntas, elas eliminam o ruído, reduzem drasticamente os falsos positivos e permitem que as equipes levem a sério as descobertas de segurança genuínas. ️