Curl no aceptará informes de vulnerabilidades durante julio de 2026
Reacción general
- Muchos comentaristas apoyan que los mantenedores de curl se tomen un mes libre de la gestión de vulnerabilidades, y lo califican de saludable, humano y largamente necesario.
- Algunos lo ven como un mensaje ingenioso que normaliza al mismo tiempo las vacaciones y promociona el soporte comercial.
- Unos pocos lo consideran “curioso” o arriesgado, pero aun así aceptan la necesidad de un descanso.
Soporte de pago y “arréglalo tú mismo”
- Se hace mucho hincapié en que curl es software libre sin garantía; quienes necesiten garantías deberían comprar un contrato de soporte.
- Varios comentarios subrayan que, al estar disponible el código fuente, las organizaciones pueden:
- Corregir los problemas por sí mismas.
- Mantener temporalmente un fork.
- Enviar los parches aguas arriba más adelante.
- Otros responden que el mantenimiento a largo plazo de forks y la integración en todo el ecosistema pueden ser costosos y poco prácticos.
Preocupaciones de seguridad y divulgación
- Algunos temen que los atacantes aprovechen el “mes de silencio” o se concentren en buscar zero-days entonces.
- Otros replican:
- Los atacantes serios no dependerían de todos modos del proceso de recepción del proyecto.
- Muchas vulnerabilidades de impacto ya son raras en proyectos maduros como curl.
- Debate sobre la “divulgación responsable”:
- Un lado: aun así hay que esperar (por ejemplo, 90 días es lo habitual), o al menos otro mes.
- El otro lado: si hay un fallo explotado activamente, la divulgación pública con un parche mínimo podría estar justificada.
- Varios señalan que solo existen normas comunitarias, no reglas estrictas.
Equilibrio entre vida laboral y personal, y cultura de vacaciones
- Largas subdiscusiones elogian la separación estricta entre trabajo y tiempo libre, incluyendo:
- Dejar los dispositivos de trabajo atrás o bloquear técnicamente el acceso.
- Managers que desaconsejan explícitamente o penalizan trabajar durante las vacaciones.
- Los comentaristas europeos describen normas de 4+ semanas de vacaciones, protecciones por enfermedad y respaldo legal y cultural para una desconexión real.
- Otros comparten contextos norteamericanos donde esos límites son más difíciles al inicio de la carrera, pero más posibles en niveles sénior.
Problemas sistémicos del OSS y de financiación
- Preocupación por el hecho de que infraestructuras críticas dependan de unas pocas personas infradotadas y sin respaldo.
- Algunos argumentan que los usuarios “consumen” OSS sin pagar, pero esperan SLAs de nivel empresarial.
- Debate sobre cómo los proyectos de moda (por ejemplo, herramientas de IA) atraen mucha más financiación que bibliotecas aburridas pero esenciales como curl.
Notas técnicas
- Breves menciones a herramientas de IA encontrando fallos en curl, a que las reescrituras en Rust son más difíciles de lo que parecen, y a enfoques alternativos como métodos formales o la compartimentación (por ejemplo, sandboxing, aislamiento al estilo Qubes).