Curl não aceitará relatórios de vulnerabilidade durante julho de 2026

Reação geral

  • Muitos comentaristas apoiam os mantenedores do curl tirarem um mês de folga do tratamento de vulnerabilidades, chamando isso de saudável, humano e tardio.
  • Alguns veem isso como uma mensagem inteligente que, ao mesmo tempo, normaliza férias e divulga suporte comercial.
  • Alguns acham “curioso” ou arriscado, mas ainda aceitam a necessidade de uma pausa.

Suporte pago e “conserte você mesmo”

  • Ênfase forte em que o curl é software livre sem garantia; usuários que precisem de garantias devem comprar um contrato de suporte.
  • Várias pessoas enfatizam que, com o código-fonte disponível, as organizações podem:
    • Corrigir problemas por conta própria.
    • Manter um fork temporário.
    • Enviar os patches a montante depois.
  • Outros respondem que a manutenção de longo prazo de forks e a integração em todo o ecossistema podem ser caras e impraticáveis.

Segurança e preocupações com divulgação

  • Alguns temem que atacantes explorem o “mês silencioso” ou se concentrem em encontrar zero-days nesse período.
  • Outros contrapõem:
    • Atacantes sérios não dependeriam do processo de recebimento do projeto de qualquer forma.
    • Muitas vulnerabilidades impactantes já são raras em projetos maduros como o curl.
  • Debate sobre “divulgação responsável”:
    • Um lado: ainda é preciso esperar (por exemplo, 90 dias é o típico), ou pelo menos mais um mês.
    • Outro lado: se houver um bug sendo explorado ativamente, a divulgação pública com um patch mínimo pode ser justificável.
    • Vários observam que existem apenas normas da comunidade, não regras rígidas.

Equilíbrio entre trabalho e vida pessoal e cultura de férias

  • Longas subthreads elogiam a separação rigorosa entre trabalho e tempo livre, incluindo:
    • Deixar os dispositivos de trabalho para trás ou bloquear tecnicamente o acesso.
    • Gestores que desencorajam explicitamente ou penalizam trabalhar durante as férias.
  • Participantes europeus descrevem normas de 4+ semanas de férias, proteções contra licença médica e respaldo legal/cultural para uma desconexão real.
  • Outros compartilham contextos da América do Norte em que esses limites são mais difíceis no início da carreira, mas mais possíveis em níveis seniores.

Questões sistêmicas de OSS e financiamento

  • Preocupações de que a infraestrutura crítica dependa de algumas poucas pessoas subfinanciadas e sem backup.
  • Alguns argumentam que usuários “consomem” OSS sem pagar, mas esperam SLAs de nível empresarial.
  • Discussão sobre como projetos da moda (por exemplo, ferramentas de IA) atraem muito mais financiamento do que bibliotecas chatas, porém essenciais, como o curl.

Notas técnicas

  • Breves menções a ferramentas de IA encontrando bugs no curl, reescritas em Rust sendo mais difíceis do que parecem e abordagens alternativas como métodos formais ou compartimentalização (por exemplo, sandboxing, isolamento no estilo Qubes).