curl 将在 2026 年 7 月不接受漏洞报告

总体反应

  • 许多评论者支持 curl 维护者休息一个月、不处理漏洞事务,认为这健康、人性化,而且早就该这样做了。
  • 一些人认为这是一种巧妙的表达方式,既让“休假”变得正常,也在宣传商业支持。
  • 也有人觉得这有点“奇怪”或有风险,但仍然接受他们需要休息。

付费支持与“自己修好它”

  • 强调 curl 是自由软件,不提供任何担保;需要保证的用户应该购买支持合同。
  • 多位评论者指出,由于源码可用,组织可以:
    • 自行修补问题。
    • 维护一个临时分支。
    • 之后再把补丁上游合并。
  • 也有人回应说,长期维护分支并在整个生态中整合补丁的成本很高,而且不现实。

安全与披露方面的担忧

  • 有人担心攻击者会利用这个“安静的月份”,或者专门在那时集中寻找零日漏洞。
  • 也有人反驳:
    • 真正严肃的攻击者本来也不会依赖项目的接收流程。
    • 在像 curl 这样成熟的项目里,影响重大的漏洞本来就很少见。
  • 关于“负责任披露”存在争论:
    • 一方认为仍应等待(例如 90 天通常是常见做法),或者至少再等一个月。
    • 另一方认为,如果漏洞正在被积极利用,那么公开披露并附上最小补丁也许是合理的。
    • 还有人指出,这里只有社区惯例,没有硬性规则。

工作与生活平衡,以及休假文化

  • 很长的讨论串赞扬工作与休息的严格分离,包括:
    • 把工作设备留在一边,或在技术上阻止访问。
    • 明确反对或惩罚员工在休假期间工作的管理者。
  • 欧洲评论者描述了 4 周以上假期、病假保护,以及支持真正断联的法律和文化背景。
  • 其他人分享北美语境,说明这种边界在职业早期更难建立,但在资深层级会更可行。

OSS 系统性与资金问题

  • 有人担心关键基础设施依赖少数资金不足、又没有后备支持的人。
  • 一些人认为用户在“消费”OSS 却不付费,却又期待企业级 SLA。
  • 讨论还提到,像 AI 工具这样的热门项目往往获得远比 curl 这类无聊但必要的库更多的资金。

技术侧记

  • 简要提到 AI 工具发现 curl 漏洞、Rust 重写比听起来更难,以及形式化方法或隔离等替代方案(例如沙箱、类似 Qubes 的隔离)。