To máš asi pravdu, ale dopad na ty konkrétní vývojáře (viz tato zprávička) je reálný. My třeba používáme pro Python knihovny SafetyCLI a tam náhodně zařazují i letité "zranitelnosti", o kterých autoři toho sw řekli, že to není bug, ale feature (třeba https://data.safetycli.com/v/70612/eda/). Problém je, že když tvůj takhle někdo označí jako kriticky zranitelný, nemáš jak se té nálepky zbavit.