Nedávno jsem se setkal s něčím podobným. Máme na githubu i branche, které nejsou určené pro produkci nejsou ani testovací, nedělají se z nich releasy, občas to ani není kompletní projekt. Možná naše chyba, že jsme je nechali veřejně, ale je tam nějaké procento kódu, které občas někdo hledá.
Před pár měsíci nám začali ve velkém reportovat problémy právě z těchto kódů. Vzniklo spoustu CVE, kde bylo uvedeno "all version affected, critical vulnerability, ...". S těmi nahlašovateli se často nedalo moc mluvit, nenechali si vysvetlit, že reportují nesmysly z nikdy nevydaného a nepoužitého kódu apod. Jak píše kolega - jen strojovým prohledáváním vytvořit co nejvíce CVE.
No a pak o tom vydat někde na hacker news článek, jak je projekt děravý