2026年6月16日 08:30软件资讯00.72K
#软件资讯 知名开源软件 cURL 开发团队宣布将在 7 月进入休假状态,期间不再接受任何漏洞报告,除非客户签订付费支持合同。简而言之,在 7 月 1 日~8 月 3 日期间任何人都无法通过 HackerOne 提交漏洞报告,相关常规错误报告也不会处理,但付费客户遇到安全或非安全问题仍然可以联系丹尼尔获得全面或适当的支持。查看详情:https://ourl.co/113479
知名开源项目 cURL 项目主要开发者丹尼尔日前发布博客宣布该项目暂停漏洞报告以及新版本发布计划延后,这并非出现重大安全问题或其他变故,而是在忙碌四个月后 cURL 项目团队准备在 7 月休假,丹尼尔将其称为 2026 年的幸福之夏活动,丹尼尔也鼓励其他开源项目参与幸福之夏。
相关时间安排:
- 开始时间:欧洲中部夏令时 2026 年 7 月 1 日 0 时起
- 结束时间:欧洲中部夏令时 2026 年 8 月 3 日 0 时止
- 事项内容:在此期间停止任何漏洞提交,包括 HackerOne 和通过电子邮件报告漏洞
- 额外提醒:原则上 cURL 项目不支持通过电子邮件报告漏洞,以后也是如此
- 延迟发版:cURL v8.22.0 版推迟两周发布,也就是到 2026 年 9 月 2 日再发布
- GitHub:位于 GitHub 上的问题反馈功能和拉取请求跟踪器仍然继续开放
紧急问题需加钱处理:
原则上即便发生紧急安全问题团队也不会处理,但如果客户愿意签订付费支持合同则可以更早联系 cURL 团队并处理相关信息,在暂停报告期间任何签订付费合同的客户仍然可以获得全面或适当的服务,例如出现某些紧急安全问题或其他技术问题仍然可以联系 cURL 团队并获得支持。
问题是在开发团队休假但黑客不会休假,也就是在休假期间黑客仍然会继续寻找 cURL 的安全漏洞并加以利用,这种情况应该怎么办呢?开发团队也预料到可能会发生这种问题,但即便如此除非客户签订付费支持合同,否则开发团队依然会以休假为主不会处理这些问题。
