<div dir="ltr">I have some issues with this. For example my Lat Lon Tools plugin is tagged and here are the reasons. It is identifying these two lines as hazardous.<div><br></div><div>__base32 = '0123456789bcdefghjkmnpqrstuvwxyz'</div><div><br></div><div>lontile_ = "ABCDEFGHJKLMNPQRSTUVWXYZ"<br><div><br></div><div>I think it is important for security scans, but when it comes to lines of code like this that have been flagged with it is a problem.</div><div><br></div><div>With KML Tools here are the lines of code being flagged.</div><div><br></div><div>parser = xml.sax.make_parser()</div><div><br></div><div>kml_str = xml.dom.minidom.parseString(xml_str.encode("utf-8"))</div><div><br></div><div>Thanks,</div><div><br></div><div>Calvin</div><div><br></div><div><br></div></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, Apr 23, 2026 at 8:59 AM Johannes Kröger (WhereGroup) via QGIS-Developer <<a href="mailto:qgis-developer@lists.osgeo.org">qgis-developer@lists.osgeo.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
the plugins repository now *publicly* denounces plugins when its <br>
security scan has flagged something.<br>
I use the word "denounce" aggressively here because as a plugin <br>
developer it is not nice to have plugins *which do not actually have <br>
security issues* brandished insecure with a BIG RED WARNING, losing <br>
trust of their users.<br>
<br>
The rules are not perfect and at least for plugins where I have insight <br>
the false positive rate is higher than the correct flags...<br>
For example it flags any requests.get() call without a timeout. The <br>
worst that can happen is a hanging QGIS, big whoop...<br>
It also flags hashes as secrets and I fail to see how this is helpful <br>
for plugins that are *already published and accessible*.<br>
<br>
Please revert the public display of this badge for now. If it is planned <br>
to publicly flag existing plugin versions, give developers ample time to <br>
review, fix or dispute the findings.<br>
<br>
Sorry for the aggressive tone but this was unexpected and is very <br>
unpleasant to deal with.<br>
I do think that the scanning and potential blocking of new versions is a <br>
great feature (thank you for it!) but the retrospective scanning with <br>
public display without human validation is not.<br>
<br>
Cheers, Hannes<br>
<br>
<br>
_______________________________________________<br>
QGIS-Developer mailing list<br>
<a href="mailto:QGIS-Developer@lists.osgeo.org" target="_blank">QGIS-Developer@lists.osgeo.org</a><br>
List info: <a href="https://lists.osgeo.org/mailman/listinfo/qgis-developer" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/qgis-developer</a><br>
Unsubscribe: <a href="https://lists.osgeo.org/mailman/listinfo/qgis-developer" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/qgis-developer</a><br>
</blockquote></div>