Wenn Sie uns mit nutzlosen Meldungen Zeit stehlen, werden wir Sie sperren und öffentlich verspotten

(curl.se)

3 Punkte von GN⁺ 2026-01-23 | 3 Kommentare | Auf WhatsApp teilen

Inhalte in /.well-known/security.txt des curl Open-Source-Projekts
Sicherheitsprobleme, die in den eigenen Produkten gefunden wurden, werden entgegengenommen, für gemeldete Probleme werden jedoch keine finanziellen Belohnungen oder sonstige Vergünstigungen gewährt
Stattdessen werden bestätigte Probleme mit einem Dank und einer Nennung der Verdienste in der Dokumentation gewürdigt
Wer mit schlechten oder sinnlosen Meldungen Zeit verschwendet, wird mit öffentlicher Verspottung und einer Sperre gewarnt
Verwendet das security.txt-Standardformat, das die Kernaussagen der Richtlinie zur Sicherheitsmeldung kompakt zusammenfasst

Sicherheitsmeldepolitik des curl-Projekts

Das curl Open-Source-Projekt nimmt Meldungen zu Sicherheitsproblemen in Produkten entgegen, die vom curl-Projekt erstellt wurden
- Meldungen können per E-Mail (security@curl.se) oder über die GitHub-Seite für Security Advisories eingereicht werden
Es wird ausdrücklich festgehalten, dass es keine Vergütungspolitik gibt; finanzielle oder sonstige Formen der Belohnung werden nicht angeboten
- Stattdessen gibt es für bestätigte Probleme Dank und Anerkennung in den entsprechenden Dokumenten

Warnung vor ungeeigneten Meldungen

Das Projekt erklärt ausdrücklich: „Wenn Sie uns mit nutzlosen Meldungen Zeit stehlen, werden wir Sie sperren und öffentlich verspotten.“
- Das ist eine starke Warnformulierung, um unprofessionelle oder unbegründete Meldungen zu verhindern
- Sie unterstreicht die Bedeutung von qualitativ hochwertigen Meldungen und einer verantwortungsvollen Disclosure-Kultur

Verfahren zur Sicherheitsmeldung und offizielle Informationen

Kontaktwege: E-Mail (security@curl.se) und die GitHub-Seite für Security Advisories
Richtliniendokument: öffentlich unter https://curl.se/dev/vuln-disclosure.html
Dankes-Seite: einsehbar unter https://curl.se/docs/security.html
Bevorzugte Sprache: Englisch (en)
Ablaufdatum der Richtlinie: angegeben mit 22. Oktober 2026
Offizielle URL: https://curl.se/.well-known/security.txt

3 Kommentare

slowandsnow 2026-01-24

Es scheint, als wäre es die beste Lösung, die GitHub-Issue-Seite zu schließen, wenn wahllos Issues erstellt werden.

skageektp 2026-01-23

Ich frage mich allerdings auch, ob öffentliche Verspottung nach koreanischem Recht nicht rechtswidrig ist, haha

GN⁺ 2026-01-23

Hacker-News-Meinungen

Kürzlich gesehen, dass cURL sein Bug-Bounty-Programm eingestellt hat, weil es von KI-generierten falschen Bug-Reports überflutet wurde
Zugehörige Artikel: Hacker-News-Thread, ETN-Bericht
- Wenn ein Report samt Patch und Testfall sauber ausgearbeitet ist, wäre er meiner Meinung nach eine Belohnung wert, selbst wenn er mit KI erstellt wurde
Man spürt gerade, dass das KI-Zeitalter nun wirklich begonnen hat
- Damit haben zwar alle gerechnet, eher erstaunlich ist, dass es erst jetzt so eskaliert
Ich denke, das Open-Source-Vertriebsmodell ist zu einer nicht nachhaltigen Struktur geworden
Ursprünglich sollte die freie-Software-Bewegung Nutzern die Freiheit sichern, Software selbst zu ändern und zu verbessern
Inzwischen hat sich jedoch eine Kultur etabliert, in der Issue-Tracker, PR-Reviews, E-Mail-Support und Security-Patches kostenlos erwartet werden
Das ist de facto bezahlte Support-Arbeit und braucht Vergütung, sofern es nicht bloß ein Hobby ist
- Früher habe ich mit HapiJS einen einfachen Generator für statische Websites gebaut und auf GitHub gestellt; nachdem er auf Reddit geteilt wurde, wurde ich mit PRs, Bug-Reports und Beschimpfungen überflutet
  Obwohl ich erklärt hatte, dass ich keinen Support leisten würde, bekam ich weiter Vorwürfe zu hören, und das war mein erstes und letztes OSS-Projekt
- Ich stelle mir ein System vor, in dem Nutzer für gewünschte Features kleine Prämien aussetzen können
  Wenn mehrere Nutzer dieselbe Funktion wollen, wächst der Prämienpool, und Entwickler können sich entscheiden, die Aufgabe umzusetzen
  Auch Projektmanager und Tester würden einen bestimmten Anteil erhalten, sodass alle motiviert sind
- Ich stimme nicht zu, wenn gesagt wird, die Gründer von Open Source hätten ein solches Modell nie beabsichtigt
  Eric S. Raymonds „Bazaar-Modell“ und „Linus’ Gesetz“ („Given enough eyeballs, all bugs are shallow“) setzen gerade öffentliche Zusammenarbeit voraus
- Ich lehne die Sichtweise ab, FOSS-Entwickler seien Opfer
  Man kann selbst Grenzen und Regeln festlegen und unhöfliche Leute blockieren
- Zusammenarbeit über öffentliche Issue-Tracker wie GitHub ist seit inzwischen zwei Generationen Grundbestandteil der Open-Source-Kultur
Ich helfe derzeit bei einem OWASP-Dokumentationsprojekt, und indische Studierende reichen massenhaft absurde, mit LLM erzeugte PRs und Issues ein
Ich habe vorgeschlagen, wie bei Ghostty zunächst mit „Discussion“ zu beginnen und nur von Maintainern genehmigte Issues in PRs umzuwandeln
- Ich habe unter indischen Entwicklern eine „fake it till you make it“-Kultur erlebt, bei der Fragen vermieden und einfach weitergemacht wird
- Viele Studierende schicken PRs mit LLM-Code für GitHub-Aktivität im Lebenslauf; wenn man Änderungen anfordert, verstehen sie überhaupt nicht, worum es geht
  Wie Torvalds sagte, dürfte Wartung von Code dank LLMs zum Albtraum werden
- Wenn solche sinnlosen PRs zunehmen, wird es schwieriger, echte Issues zu finden
- Ich denke, einer der Gründe für den Niedergang von Stack Overflow war ebenfalls die Explosion minderwertiger Fragen
Ich habe einmal einen Bug-Report eingereicht und wurde auf Reddit heftig angegriffen, weil die Reproduktionsinformationen unzureichend waren
Seitdem habe ich meine Aktivitäten in sozialen Netzwerken fast ganz eingestellt
- Das curl-Team bittet normalerweise höflich um zusätzliche Informationen; wenn man darauf nicht ordentlich reagiert, ist es nur natürlich, dass der Vorgang geschlossen wird
- Maintainer müssen sich abmühen, unter zahllosen falschen Reports die echten Bugs zu finden
  Man sollte daran denken, dass sich Kritik auf den Report bezieht und nicht auf die Person
- Das curl-Team ist eher großzügig, und die Beschimpfungen auf Reddit haben nichts mit der offiziellen Community zu tun
- Ironischerweise behandeln selbst die Reaktionen in diesem Thread gerade Erfahrungen, die „nicht reproduzierbar“ sind
Um Eternal September und das durch LLMs verursachte Problem minderwertiger Beiträge zu lösen, braucht es meiner Meinung nach eher mehr Reibung als Eintrittshürde
Zum Beispiel könnte man Erstbeiträge nur als per QR-Code auf einer Postkarte eingereichten Report zulassen
- Solche Reibung halten jedoch oft gerade Spam-Beitragende besser aus als echte Beitragende, sodass sie wirkungslos sein könnte
Wenn ein Projekt in PRs voller Emojis und Fehler untergeht, funktioniert das Bazaar-Modell kaum noch
- Das erinnert mich an Brandolini’s Law
  Die Flut ungeprüfter Informationen ist nicht nur in Open Source, sondern gesellschaftlich insgesamt ein Problem
  Unsere Kultur hat noch kein Immunsystem gegen Falschinformationen entwickelt
Das erinnert mich an die Zeit, als The Pirate Bay die juristischen Droh-E-Mails der MPAA veröffentlichte
Auf TPBs Seite zu rechtlichen Reaktionen (Webarchiv) kann man noch Spuren davon sehen
Ihre Methode war zwar nicht effektiv, blieb aber als eine Art Symbol des Widerstands bestehen
In einem bekannten Open-Source-Projekt, das ein Freund maintaint, reichen chinesische Studierende gefälschte Berichte über Sicherheitslücken als Kursaufgabe ein
Die meisten lassen sich nicht reproduzieren und verschwenden die Zeit der Maintainer
Zudem entstehen echte Schwachstellen wegen distributionsspezifischer Konfigurationsunterschiede manchmal nicht im Upstream-Code, sondern in der Paketkonfiguration
Auch im Kryptos-K4-Subreddit wimmelt es von LLM-erzeugten „Ich habe es gelöst!“-Posts, die beim ersten Verstoß sofort gebannt werden
Es beunruhigt mich, dass KI-gestützter Betrug bei Hausaufgaben sich inzwischen auf alle Bereiche ausgeweitet hat
- Als Menschen dürfen wir die Freude am Lernen und Wachsen nicht verlieren
  So weit sich KI auch entwickelt, der Wert des eigenen Lernens ist unersetzlich
- Bei Kryptos K4 kennt ein LLM zwar alle Daten, bringt aber überhaupt keine neuen Ideen hervor
  Am Ende ist ein LLM kein Werkzeug für kreatives Denken, sondern nur ein verstärktes Autocomplete
- In China ist es verbreitet, dass Medizinstudierende wissenschaftliche Arbeiten nicht selbst schreiben, sondern durch Ghostwriting Fachzeitschriften verunreinigen
- Letztlich wandert Betrug aus der Wissenschaft in den Markt, und solange es finanzielle Anreize gibt, wird das nicht aufhören
Ich fände es gut, wenn GitHub Nutzern eine Art Vertrauensscore oder Reputationssystem geben würde
- Allerdings gehört GitHub zur KI-Abteilung (Microsoft CoreAI), sodass ein solches Verhalten eher noch gefördert werden könnte
  Zugehöriger Artikel: GeekWire-Bericht
- Die Vorstellung, dass Microsoft Entwicklern einen Sozialscore gibt, ist schrecklich
- Ich denke eher, dass man Nutzer anonymisieren sollte, um den Anreiz zur Jagd nach Ruhm zu verringern
- Auch auf Plattformen wie HackerOne gibt es Reputationssysteme, aber minderwertige Reports sind dort weiterhin im Überfluss vorhanden
  Am Ende nehmen Unternehmen kostenpflichtige Dienste für Triage in der Vorauswahl in Anspruch
  Dabei antworten oft zuerst keine echten Experten, wodurch echte Reports verspätet bearbeitet werden
  Die derzeitige Lage ist für alle schlecht und wird immer schlimmer