Curl não aceitará relatórios de vulnerabilidade durante julho de 2026
Reação geral
- Muitos comentaristas apoiam os mantenedores do curl tirarem um mês de folga do tratamento de vulnerabilidades, chamando isso de saudável, humano e tardio.
- Alguns veem isso como uma mensagem inteligente que, ao mesmo tempo, normaliza férias e divulga suporte comercial.
- Alguns acham “curioso” ou arriscado, mas ainda aceitam a necessidade de uma pausa.
Suporte pago e “conserte você mesmo”
- Ênfase forte em que o curl é software livre sem garantia; usuários que precisem de garantias devem comprar um contrato de suporte.
- Várias pessoas enfatizam que, com o código-fonte disponível, as organizações podem:
- Corrigir problemas por conta própria.
- Manter um fork temporário.
- Enviar os patches a montante depois.
- Outros respondem que a manutenção de longo prazo de forks e a integração em todo o ecossistema podem ser caras e impraticáveis.
Segurança e preocupações com divulgação
- Alguns temem que atacantes explorem o “mês silencioso” ou se concentrem em encontrar zero-days nesse período.
- Outros contrapõem:
- Atacantes sérios não dependeriam do processo de recebimento do projeto de qualquer forma.
- Muitas vulnerabilidades impactantes já são raras em projetos maduros como o curl.
- Debate sobre “divulgação responsável”:
- Um lado: ainda é preciso esperar (por exemplo, 90 dias é o típico), ou pelo menos mais um mês.
- Outro lado: se houver um bug sendo explorado ativamente, a divulgação pública com um patch mínimo pode ser justificável.
- Vários observam que existem apenas normas da comunidade, não regras rígidas.
Equilíbrio entre trabalho e vida pessoal e cultura de férias
- Longas subthreads elogiam a separação rigorosa entre trabalho e tempo livre, incluindo:
- Deixar os dispositivos de trabalho para trás ou bloquear tecnicamente o acesso.
- Gestores que desencorajam explicitamente ou penalizam trabalhar durante as férias.
- Participantes europeus descrevem normas de 4+ semanas de férias, proteções contra licença médica e respaldo legal/cultural para uma desconexão real.
- Outros compartilham contextos da América do Norte em que esses limites são mais difíceis no início da carreira, mas mais possíveis em níveis seniores.
Questões sistêmicas de OSS e financiamento
- Preocupações de que a infraestrutura crítica dependa de algumas poucas pessoas subfinanciadas e sem backup.
- Alguns argumentam que usuários “consomem” OSS sem pagar, mas esperam SLAs de nível empresarial.
- Discussão sobre como projetos da moda (por exemplo, ferramentas de IA) atraem muito mais financiamento do que bibliotecas chatas, porém essenciais, como o curl.
Notas técnicas
- Breves menções a ferramentas de IA encontrando bugs no curl, reescritas em Rust sendo mais difíceis do que parecem e abordagens alternativas como métodos formais ou compartimentalização (por exemplo, sandboxing, isolamento no estilo Qubes).