Curl 将于 2026 年 7 月暂停接受漏洞报告
作者:Daniel Stenberg | 2026 年 6 月 15 日
Curl 将在 2026 年 7 月期间暂停接受漏洞报告。curl 安全团队将休假整整四周。我希望鼓励 curl 团队的其他成员也这样做。
以下是计划安排:2026 年 7 月 1 日至 7 月 31 日。在此期间,请勿向 curl 提交安全漏洞报告。包括向 curl 项目的 HackerOne 程序以及我个人提交的报告。我们会忽略这些报告,直到 8 月份才会处理。如果你在 7 月份报告了一个安全漏洞,你不会得到回复,也不会收到确认邮件。你的报告将默默等待,直到 8 月我们才会开始处理。
特此说明。
为什么?
因为我累了。我已经差不多连续做了这件事超过 26 年。我有一个家庭。我需要优先考虑我的健康和理智。这件事我已经想了很久,而现在是付诸行动的时候了。除此之外,没有其他原因。项目很好,进展顺利,一切如常。我只是需要休息一下。
没有新的安全版本
Curl 将在 7 月照常发布一个新版本,按计划在 7 月 15 日发布。它可能包含一些安全修复——那些我们已经了解并正在处理的,不会等到 8 月再发布。但不会有新的安全版本计划。如果有人报告了严重问题,它也得等到 8 月。
曾经更糟
过去几年,我们一直面对源源不断的安全报告。有些年份,每两周就会有一个(甚至多个)安全公告。每次安全公告的处理,从收到报告到最终发布修复版本,都需要花费大量时间。这涉及到与报告者沟通、协调披露时间、理解问题、实施修复、编写公告文案、回归测试、同步所有相关方,最后发布。每一件都要耗费大量精力。
幸运的是,近年来情况有所改善。我们采取了一些措施,比如更严格的代码审查流程、更好的自动化测试、更早发现问题的模糊测试,以及更严格的安全修复策略。但即便如此,处理安全漏洞仍然非常耗时,而且精神压力很大。
这也是我们设定 7 月为"静默期"的原因之一。我们需要一个真正意义上的休息,而不是"随时待命"的休假。
不仅 Curl 一个人
整个 curl 安全团队一直非常努力,我觉得我们在安全方面比以往任何时候都更加主动和高效。我们有更多人在关注安全,我们也有更好的工具和流程。但即便如此,安全工作的压力是无处不在的。每个人都需要休息。
这可能是有史以来加入 curl 安全团队的最佳时机。但我们仍然需要休息。
HackerOne 怎么办
私有的 HackerOne 程序将配置为在 7 月期间不接受新报告。这意味着如果你尝试提交报告,HackerOne 平台会直接拒绝。这不是什么隐藏设置——我们会明确告知提交者,这段时间不接受报告。
Curl 的 GitHub Issue 和 Pull Request 跟踪器将保持正常开放和活跃。常规的问题和代码贡献不受影响。
你也可以试试?
如果你和你的开源项目也想参加 2026 年的"快乐之夏",那就去做吧,告诉我们你的体验!我当然鼓励你们这样做。把自己放在第一位。
坏人不会休息
大概不会。但我们会。
但如果有紧急情况怎么办
那你就在 8 月份读到了。或者你可以购买一份支持合同,这样我们就能提前读到它。
付费合同除外
所有拥有付费支持合同的客户,在此期间当然仍能获得完整且适当的服务。
图片致谢:fotografierende from Pixabay
在 Hacker News 上讨论。
原文链接:Daniel Stenberg Blog
