DevTime, Cal.com'da kanıt yoksa 'emin değilim' diyen bir tarayıcı
Yerel-öncelikli kod tarayıcısı DevTime, Cal.com deposunda faturalandırma webhook'larını 'kanıtlanmamış' olarak işaretledi; dosya adına değil davranışa bakan bu yaklaşım neden önemli?
DevTime adlı yerel-öncelikli CLI aracı, geliştiricisi tarafından açık kaynaklı Cal.com zamanlama platformuna karşı test edildi. Araç, kod tabanını statik olarak tarayıp kimlik doğrulama, faturalandırma webhook'ları ve arka plan işleri gibi belirli kavramları kanıta dayalı şekilde tespit ediyor; her iddiayı ilgili dosyalara bağlıyor ve kanıt yetersizse belirsizlik bildiriyor. Cal.com'da stripe/webhook.ts adlı bir dosya bulunmasına rağmen araç, faturalandırma webhook davranışını 'düşük güven' olarak işaretledi. Manuel incelemede bu dosyanın sadece 404 döndüren bir stub olduğu, gerçek webhook işlemenin kurumsal sürümde bulunduğu ortaya çıktı. Yani dosya adına bakarak 'webhook var' diyen bir AI ajanı yanılmış olacaktı; araç ise davranış kanıtı olmadığı için doğru şekilde belirsizlik bildirdi.
Araç kusursuz değil: arka plan iş sistemi (Tasker paketi, Redis tabanlı kuyruk, cron rotaları) düşük güvenle raporlandı ve admin yetkilendirme yüzeyleri tamamen kaçırıldı. Bu yanlış negatifler, gelecekte aynı hatanın sessizce tekrarlanmasını önlemek için regresyon testlerine dönüştürülüyor. Ayrıca araç, NestJS denetleyici ayrıştırmasının henüz desteklenmediğini tarama sırasında kendiliğinden bildirdi. Bu vaka, kod tabanlarını analiz eden AI destekli araçlar ve ajanlar için önemli bir ders sunuyor: dosya isimlerinden veya bağımlılıklardan çıkarılan 'akıcı' hikayeler yanıltıcı olabilir; gerçek davranış kanıtı olmadan üretilen özgüven, mühendislik kararlarında güvenlik riski taşır.