Les correctifs de dépendances automatisés pourraient coûter 48 000 dollars par an aux entreprises

Les entreprises qui utilisent Dependabot pour gérer les dépendances de leurs projets logiciels pourraient dépenser jusqu’à 48 000 dollars par an en temps de développement pour traiter les « pull requests » (PR) générées automatiquement par l’outil. C’est ce qu’avance PatchWave, un service lancé par ContextBridge, qui propose une solution pour réduire ce coût en automatisant les tâches les moins risquées.

Selon les calculs de PatchWave, une entreprise recevant 100 PR Dependabot par mois (un rythme courant dans les grandes organisations) voit chaque révision nécessiter en moyenne douze minutes de travail pour un ingénieur. Avec un taux horaire de 200 dollars par ingénieur, l’addition mensuelle atteint 4 000 dollars, soit 48 000 dollars sur un an. Ce chiffre ne tient compte que du temps de relecture, sans inclure les tests, les conflits de fusion, ni les interruptions de productivité.

Un problème de volume et de priorisation

Dependabot est un outil populaire intégré aux plateformes de développement comme GitHub, qui crée automatiquement des PR pour mettre à jour les bibliothèques logicielles obsolètes ou vulnérables. Si l’intention est louable – réduire les risques de sécurité et de stabilité –, le volume de PR peut vite submerger les équipes. Beaucoup de ces mises à jour sont mineures ou à faible risque, mais nécessitent tout de même une validation humaine.

PatchWave estime que 65 % des PR générées par Dependabot pourraient être fusionnées automatiquement sans poser de problèmes. L’outil qu’il propose se concentre donc sur l’identification de ces PR à faible risque, les fusionne automatiquement, et ne remonte à l’équipe que celles qui présentent un danger ou une incompatibilité potentielle. L’entreprise affirme que ce tri permet d’économiser 65 % du temps de révision, soit environ 31 200 dollars par an dans le scénario type.

Un service en accès anticipé

PatchWave se présente comme une application GitHub dotée d’un accès en lecture seule dans un premier temps, garantissant la sécurité et la confidentialité des dépôts. L’entreprise propose également un script gratuit et open source, « patchwave-analysis », qui génère un rapport personnalisé du coût des dépendances pour chaque organisation. Le script s’exécute localement, sans transmettre les données à l’extérieur.

Le service est actuellement en phase d’inscription sur liste d’attente. Les équipes intéressées peuvent obtenir un rapport pour leur organisation en exécutant la commande indiquée sur le site de PatchWave.

Un enjeu de productivité et de sécurité

Au-delà de l’aspect financier, cette annonce rappelle le dilemme auquel sont confrontées les équipes de développement : maintenir la sécurité des dépendances sans sacrifier la productivité des ingénieurs. En automatisant les tâches répétitives et à faible risque, PatchWave espère libérer du temps pour les révisions vraiment critiques. L’entreprise ContextBridge, à l’origine du projet, se positionne ainsi comme un intermédiaire entre l’automatisation et l’expertise humaine.