Uma solicitação pull falha. Um longo relatório de vulnerabilidade aparece. O relatório pode ser tecnicamente preciso. Ele pode conter os IDs de aconselhamento corretos, versões afetadas, caminhos de dependência, rótulos de gravidade e referências. Mas o desenvolvedor ainda precisa analisar o resultado e reconstruir a decisão de engenharia real a partir das evidências fornecidas.
Essa reconstrução raramente é simples. O desenvolvedor precisa entender qual pacote apresentou o problema, se a dependência vulnerável é direta ou transitiva, se a correção está realmente sob o controle da equipe do aplicativo e se a versão recomendada é segura para adoção. Eles também precisam determinar se a dependência é usada na produção ou apenas durante o desenvolvimento, se a atualização pode interromper o aplicativo e se a correção pertence à solicitação pull atual ou requer trabalho de engenharia separado.
Essa incerteza é onde o trabalho de segurança muitas vezes fica mais lento. O scanner detectou riscos, mas o desenvolvedor não recebeu um caminho claro desde a detecção até a decisão.
