← 返回信息流
AI 资讯Hacker News·3 小时前

Curl宣布2026年7月期间暂停接受漏洞报告

原标题:Curl will not accept vulnerability reports during July 2026

速览

Curl项目宣布在2026年7月期间暂停接受漏洞报告。此举旨在为开发者提供集中处理或维护的时间窗口。具体原因及后续安排需关注官方进一步公告。

AI 深度解读

Curl 宣布 2026 年 7 月“静默休假”:暂停接受漏洞报告,开启“极乐夏日”

背景

作为互联网基础设施中不可或缺的命令行工具,curl 在全球开发者社区中拥有极高的地位。然而,长期的高负荷运转往往让开源维护者面临巨大的身心压力。近期,curl 项目团队通过 Hacker News 发布了一则引人注目的公告,宣布将在 2026 年 7 月期间暂停接受任何漏洞报告。

这一举措并非因为项目停滞,而是维护者团队主动选择的一段“休假时间”。在经历了过去四个月的高强度安全压力后,curl 团队决定通过这种方式来缓解压力,享受夏季生活。这一决定不仅涉及安全报告的暂停,还直接影响了软件版本的发布计划,并明确区分了付费支持用户与普通公众的服务差异。

核心内容

curl 项目正式宣布,从 2026 年 7 月 1 日 00:00 CEST(中欧夏令时)开始,将进入为期一个月的“极乐夏日”(Summer of Bliss)。在此期间,项目将完全停止处理任何安全漏洞报告。

具体执行细节如下:

  1. 漏洞提交渠道暂停

    • curl 在 HackerOne 平台上的漏洞提交表单将于 2026 年 7 月 1 日起暂停使用。
    • 专门用于接收安全邮件的地址也将成为“死胡同”,团队不会处理或关注在此期间通过电子邮件发送的任何安全或漏洞报告。

  2. 恢复时间

    • 所有漏洞提交渠道将于 2026 年 8 月 3 日 09:00 CEST 重新开放。
    • 在此期间发现的任何问题,无论紧急程度如何,都必须等待至 8 月 3 日之后才能被正式受理。

  3. 对版本发布的影响

    • 为了应对 8 月初可能积压的大量问题,curl 决定将版本 8.22.0 的发布日期推迟两周。
    • 新的发布日期定为 2026 年 9 月 2 日

  4. GitHub 状态

    • 尽管安全报告暂停,但 curl 在 GitHub 上的 Issue 和 Pull Request 跟踪器保持正常开放和活跃状态,常规的功能性讨论和代码贡献不受影响。

  5. 例外情况与付费支持

    • 付费支持合同用户:拥有付费支持合同的企业或用户将继续获得完整且适当的服务,不受此次休假影响。
    • 紧急情况:对于没有付费合同的普通用户,如果遇到紧急情况,团队表示他们将在 8 月阅读相关报告,或者用户可以选择购买支持合同以提前获得服务。
    • 一般政策重申:团队重申,curl 通常不接受通过电子邮件提交的漏洞报告,这一政策在休假期间及之后保持不变。

  6. 维护者的心声

    • 过去四个月,curl 团队承受了巨大的压力,他们预计这种高强度的安全挑战浪潮不会很快结束。
    • 此次休假旨在让维护者呼吸新鲜空气,多出门走走,甚至去其他地方旅行。团队希望利用这段低压力时间修复一些 Bug 或编写新代码,享受“有趣的事情”。
    • 团队鼓励其他开源项目维护者也参与进来,将自我照顾作为首要任务,并呼吁大家不要期待攻击者会休息,但维护者需要休息。

关键要点

  • 全面暂停安全响应:2026 年 7 月 1 日至 8 月 2 日期间,curl 项目完全停止处理任何漏洞报告,包括 HackerOne 表单和电子邮件渠道。
  • 版本发布延期:受此影响,curl 8.22.0 版本发布从原计划推迟两周,定于 2026 年 9 月 2 日发布。
  • 付费支持不受影响:签署付费支持合同的用户在休假期间仍享有完整的服务权益。
  • GitHub 常规活动正常:非安全类的 Issue 和 PR 讨论在 GitHub 上照常进行。
  • 无紧急通道:对于未购买支持合同的普通用户,即使存在紧急漏洞,也必须等待 8 月 3 日恢复工作后才能被处理。
  • 维护者健康优先:此举旨在应对过去四个月的高压状态,维护者明确将个人健康和休息置于首位,并呼吁开源社区重视维护者的福祉。

意义与影响

curl 团队的这一决定在开源社区引发了广泛关注,其意义远超出一则简单的休假通知:

  1. 维护者心理健康的标杆: 长期以来,开源维护者往往被期望“永远在线”,尤其是像 curl 这样关键的基础设施项目。curl 公开宣布“极乐夏日”,明确拒绝在休假期间处理安全问题,是对“维护者倦怠”(Maintainer Burnout)问题的直接回应。它树立了一个榜样,表明即使是最关键的开源项目,维护者也有权利拥有不受打扰的私人时间和休息空间。

  2. 安全响应模式的反思: 该公告揭示了当前开源安全生态中的一个痛点:关键基础设施的维护者往往处于超负荷状态。通过推迟版本发布和明确暂停响应,curl 团队承认了资源的有限性,并试图通过调整节奏来确保持续的高质量维护,而非在压力下疲于奔命。

  3. 对开发者和企业的启示

    • 对于普通用户:必须意识到开源项目并非无限资源,依赖开源项目的企业应建立自己的安全缓冲机制,或考虑通过付费支持来确保关键问题的响应速度。
    • 对于其他开源项目curl 鼓励其他项目效仿,这可能会引发一场关于“开源休假”或“维护者休息权”的行业讨论,促使更多项目团队重新评估其工作节奏和可持续性。

  4. 现实的安全风险: 尽管初衷良好,但暂停接受漏洞报告意味着在 7 月份发现的任何 curl 漏洞都可能被恶意利用,而团队无法及时修复。这提醒社区,在享受维护者休息权利的同时,也需要接受潜在的安全窗口期风险,并理解付费支持在保障关键服务连续性方面的价值。

总之,curl 的“极乐夏日”不仅是一次简单的休假,更是一次关于开源可持续性、维护者权益与安全责任之间平衡的公开宣言。

相关推荐

查看原文 →daniel.haxx.se