curl Sommer der Glückseligkeit

 (daniel.haxx.se)
2 Punkte von GN⁺ 4 시간 전 | 2 Kommentare | Auf WhatsApp teilen
  • Das Open-Source-Projekt curl setzt im gesamten Juli 2026 die Annahme und Bearbeitung von Schwachstellenmeldungen aus, um den Maintainern eine Ruhepause zu ermöglichen
  • Das Einreichungsformular bei HackerOne wird ab dem 1. Juli 2026 um 00:00 CEST deaktiviert und am 3. August 2026 um 09:00 CEST wieder geöffnet
  • Auch an die Sicherheits-E-Mail-Adresse gesendete Sicherheits- und Schwachstellenmeldungen werden nicht bearbeitet, und curl akzeptiert generell keine Schwachstellenmeldungen per E-Mail
  • Durch diese Maßnahme verschiebt sich der Zeitplan für das Release 8.22.0 um zwei Wochen auf den 2. September 2026
  • Kunden mit kostenpflichtigem Supportvertrag erhalten in diesem Zeitraum weiterhin den vollen Service, und die Tracker für Issues und Pull Requests auf GitHub bleiben wie gewohnt geöffnet

Zentrale Termine und Geltungsbereich

  • Während des Zeitraums curl Sommer der Glückseligkeit nimmt oder bearbeitet das curl-Projekt im gesamten Juli 2026 keinerlei Schwachstellenmeldungen
    • Beginn ist am 1. Juli 2026 um 00:00 CEST
    • Die Einreichung wird am 3. August 2026 um 09:00 CEST wieder aufgenommen
  • Das HackerOne-Einreichungsformular wird ab dem 1. Juli 2026 deaktiviert; ab Montag, dem 3. August, sind Einreichungen wieder möglich
  • Auch die Sicherheits-E-Mail-Adresse ist in diesem Zeitraum kein Bearbeitungskanal für Sicherheits- und Schwachstellenmeldungen
    • Auch Probleme, bei denen man meint, sie in diesem Zeitraum an das curl-Projekt melden zu müssen, müssen warten
    • curl akzeptiert generell keine Schwachstellenmeldungen per E-Mail, und das gilt sowohl während dieser Auszeit als auch danach

Auswirkungen auf den Betrieb und Ausnahmen

  • Ein echter Urlaub

    • Die curl-Maintainer wollen die Zeit mit weniger Druck nutzen, um den Sommer zu genießen, mehr draußen zu spazieren und durchzuatmen
    • Einige Maintainer könnten in diesem Zeitraum auch andere Orte besuchen
    • Es könnte zusätzliche Zeit für Bugfixes oder die Arbeit an neuem Code geben, was als angenehme Arbeit angesehen wird

  • Nebenwirkungen

    • Um Anfang August Zeit für die Bearbeitung möglicherweise aufgelaufener Themen zu haben, wird das Datum des Releases 8.22.0 um zwei Wochen nach hinten verschoben
    • 8.22.0 ist derzeit für den 2. September 2026 geplant

  • Mehr Schwachstellenmeldungen

    • Das curl-Projekt stand in den vergangenen etwa vier Monaten unter großem Druck
    • Jetzt ist eine Pause nötig, und man rechnet nicht damit, dass dieser starke Zustrom enden wird

  • GitHub

    • Die Tracker für Issues und Pull Requests von curl bleiben auf GitHub wie gewohnt offen und aktiv

  • Andere Open-Source-Projekte

    • Andere Open-Source-Projekte können beim Sommer der Glückseligkeit 2026 mitmachen, indem sie es einfach umsetzen und curl darüber informieren
    • Es wird empfohlen, die eigene Fürsorge an erste Stelle zu setzen

  • Böse Leute machen keine Pause

    • Böse Leute machen vielleicht keine Pause, aber die curl-Maintainer schon

  • Notfälle

    • Selbst in Notfällen werden die curl-Maintainer dies erst im August lesen
    • Wer eine frühere Reaktion braucht, benötigt einen Supportvertrag

  • Vertragsausnahme

    • Alle Personen mit kostenpflichtigem Supportvertrag erhalten in diesem Zeitraum weiterhin einen vollständigen und angemessenen Service

Verwandte Beiträge

2 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare

  • Der Titel verdeckt den eigentlichen Punkt. Es geht darum, Sommerurlaub zu ermöglichen und zugleich Supportverträge für Unternehmen zu fördern, damit weiterhin Unterstützung finanziert wird
    Von so einem Geschäftsmodell, das Open Source/Support/Sommerurlaub so miteinander verknüpft, habe ich zum ersten Mal gehört, und ich mag es

    • Ich fand die Idee gut, und auch Open Source könnte einen Rhythmus wie 6 Monate öffentlicher Support + 6 Monate Enterprise-Support einführen
      Open Source bekäme mehr Finanzierung, und Unternehmen könnten Support günstiger erhalten, als extra Vollzeitkräfte nur wegen einer bestimmten Open-Source-Komponente einzustellen
    • Ich dachte, der nicht existierende Enterprise-Supportvertrag von curl sei eine höfliche Art, ahnungslosen Compliance-Leuten zu sagen, sie sollten sich verziehen: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • Das ist ein extrem uneuropäischer Ansatz. Europäische Unternehmen ignorieren normalerweise selbst zahlende Kunden von Mai bis August

  • Der Satz „Die Bösen machen keine Pause, aber wir schon“ bringt in einer unmenschlichen Zeit eine willkommene Menschlichkeit mit sich

    • Noch besser ist, dass es offenbar eine Lösung gibt, falls wirklich etwas gefixt werden muss
      So nach dem Motto: „Mit Supportvertrag lesen wir es früher“
    • Ich frage mich, ob das die böse Seite dazu bringen könnte, sich in diesem einen Monat auf die Suche nach Zero-Days zu konzentrieren, um gefundene Schwachstellen ungehindert auszunutzen. Trotzdem zweifle ich nicht daran, dass auch sie eine Pause brauchen

  • Wer im Urlaub wirklich komplett von der Arbeit weg sein will, sollte es am besten unmöglich machen zu arbeiten
    Arbeitsgeräte zu Hause lassen, sich von allen Konten abmelden, den 2FA-Schlüssel auf Papier sichern und dann entfernen und dafür sorgen, dass der Partner ihn während des Urlaubs nicht zurückgibt. Ich bin tatsächlich schon in Länder gereist, in denen Remote-Arbeit nicht erlaubt war. Klingt verrückt, aber es war mir so ernst. Geschrieben von einem ehemaligen Workaholic

    • Einer der Gründe, warum ich Nordamerika verlassen und nach Europa gezogen bin, ist, dass so etwas dort normalisiert ist. Der kulturelle Unterschied ist enorm
      In Deutschland ist man im Urlaub einfach nicht erreichbar. Man gilt bis zur Rückkehr praktisch als nicht existent, liest keine E-Mails und lässt die Geräte im Büro. Wenn man im Urlaub krank wird, bekommt man die Urlaubstage außerdem zurück, weil Urlaub zum Ausruhen und Erholen da ist
    • Ich sehe das etwas anders. Gelegentlich im Urlaub auf E-Mails zu antworten finde ich okay, aber dann sollte das Unternehmen es im Gegenzug auch okay finden, wenn man während der Arbeitszeit gelegentlich private Dinge erledigt – nur dann ist es fair
      Wenn die Firma Ankunfts- und Abgangszeiten streng kontrolliert, für jede 30-minütige private Erledigung bezahlten Urlaub verlangt oder die Arbeit regelmäßig über 40 Stunden pro Woche hinausläuft, dann höre ich ebenfalls mit Arbeit „außerhalb der Arbeitszeit“ auf. Wenn die Firma vernünftig ist, kann ich auch vernünftig sein
    • Eine der guten Sachen an der Arbeit bei einer Bank war der Zwangsurlaub. Die Auditoren achteten darauf, ob Beschäftigte ständig weiter eingreifen konnten, und Mitarbeiter ab einer gewissen Berechtigungsstufe mussten zwingend N Tage am Stück Urlaub nehmen, während ihre Login-Rechte deaktiviert waren
      Das war ein hervorragendes Mittel, um versteckte Bus-Faktoren aufzudecken
    • Das wirkt nach viel zu viel zusätzlichem Aufwand. Wenn möglich, sollte Arbeit einfach nur auf dem Arbeitslaptop/-rechner bleiben, und den lässt man dann zu Hause oder im Büro
      Dann muss man sich nicht bei 20 Konten an- und abmelden
    • Meine Firma hat das zufällig erzwungen, und es ist großartig
      Früher konnte ich von meinem privaten Laptop oder Desktop per VPN+RDC auf meinen Büro-Desktop zugreifen und so remote arbeiten. Jetzt habe ich einen Laptop bekommen, aber die Remote-Authentifizierung funktioniert nicht, und die Firma hat wegen anderer Prioritäten auch nicht vor, das zu beheben. Wenn ich diesen Laptop also nicht dabeihabe, kann ich schlicht nicht arbeiten, und da ich ohnehin schon private Geräte mit mir herumtrage, schleppe ich nicht zusätzlich noch den Firmenlaptop mit. Wenn ich keine privaten Geräte dabeihabe, bin ich ohnehin nicht in einer Situation, in der ich irgendeinen Laptop mitnehmen würde
      Ich halte mich nicht für einen Workaholic, aber ich bin der Typ, der 24/7 gestresst ist, wenn er das Gefühl hat, helfen zu können. Dass ich außerhalb des Büros schlicht nicht arbeiten kann, hilft tatsächlich. Ich kann buchstäblich nichts tun, und besonders wenn die Firma die Lage selbst so geschaffen hat, stresst es mich auch nicht auf dieselbe Weise
      [1] Abgesehen vom VPN-Token und einem alten Handy als MFA-Gerät kommt nichts Arbeitsbezogenes – weder Teams noch E-Mail noch sonst etwas – auf meine privaten Geräte
      [2] Ich habe ein kleines altes Handy auf Werkseinstellungen zurückgesetzt und darauf nur ein Dummy-Google-Konto und eine MFA-App installiert

  • libexpat ("Expat") und uriparser schließen sich dem Sicherheitsurlaub von curl an und nehmen ab heute bis zum 2026-08-01 keine neuen Meldungen zu Schwachstellen mehr an
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • Für alle, die mögliche Sicherheitsfolgen befürchten: curl ist ausgereift genug, dass die Wahrscheinlichkeit eines schwerwiegenden Bugs praktisch gegen null geht, und selbst wenn es einen solchen gäbe, würde schon irgendjemand einen Weg finden, Daniel und sein Team zu erreichen; wichtiger ist ohnehin, dass ein Patch bei den Paketverwaltern landet und verteilt wird
    Ein Upstream-Release kann warten

    • Genau das ist der Punkt. Sie nehmen keine Schwachstellenmeldungen an. Sie machen Urlaub
    • Selbst wenn curl selbst keine Schwachstelle hat, sollte curl als Werkzeug zum Herunterladen beliebiger Internetdaten grundsätzlich in einer strikten Sandbox laufen
      Schon das Herunterladen beliebiger Daten in eine Shell kann zufällig Schwachstellen in allen möglichen anderen Teilen der Umgebung triggern

  • Diese Entscheidung kann man nur beklatschen. Maintainer freier Open-Source-Projekte sind fast ohne Gegenleistung dauerhaft überlastet, und durch LLMs ist der Aufwand für das Verwalten von Merge Requests inzwischen noch einmal explodiert
    Schon die Tatsache, dass zahlenden Nutzern weiterhin Support angeboten wird, ist völlig ausreichend

  • Ich kann die Maintainer nachvollziehen, aber am Ende zeigt sich erneut, dass wir von wenigen Einzelpersonen abhängig sind, die fast umsonst arbeiten — ohne Backup
    Normalerweise versuchen Organisationen, so etwas zu vermeiden, indem sie Urlaube versetzt planen. Wegen der Kundenanforderungen bleibt ihnen nichts anderes übrig. Hier sind zwar alle die Kunden von curl, aber in Wirklichkeit eben auch wieder nicht. Ich halte das für eine seltsame und ungesunde Grauzone, die niemandem guttut. Dass sich nicht einmal curl finanziell leisten kann, für einen Monat On-Call bereitzustellen, ist zugleich erstaunlich und traurig

    • Das Erstaunliche an freier Open-Source-Software ist, dass man, wenn keine Maintainer da sind, alle Rechte und den vollständigen Quellcode hat und es selbst reparieren oder jemanden dafür bezahlen kann
      Ungesund wird diese Beziehung nur dann, wenn man keine Gewährleistung mit unrealistischen Erwartungen vermischt und darauf projiziert
    • Doch, gibt es. Am Ende des Artikels steht, dass bei einem Supportvertrag reagiert und auch Sicherheitsprobleme bearbeitet werden
      Der Kern des Beitrags scheint eher zu sein: Wenn du Support brauchst, dann kauf einen Supportvertrag
    • Doch
      Dort steht: „Alle mit einem bezahlten Supportvertrag erhalten selbstverständlich auch in diesem Zeitraum vollständigen und angemessenen Service.“
    • Im Artikel steht ausdrücklich, dass bei einem bezahlten Supportvertrag der übliche On-Call-Dienst aufrechterhalten wird
    • Ich glaube, wer sich über dieses Szenario Sorgen macht, wird wahrscheinlich trotzdem nicht selbst dafür zahlen wollen, dass diese Person On-Call bereitsteht

  • Das derzeitige System, bei dem man immer wieder Schwachstellen entdeckt, meldet, analysiert, dann patcht und neue Versionen an alle Nutzer ausrollt, ist offensichtlich nicht nachhaltig
    Die Branche muss alternative Systeme finden, um mit Bugs und Sicherheitsproblemen umzugehen. Derzeit zieht sie es vor, wegzuschauen und ihr eigenes Versagen in eine Gelegenheit für Rent-Seeking zu verwandeln

    • Was wäre eine bessere Lösung?
      Und was wäre in Open Source ein Beispiel für das erwähnte Rent-Seeking?
    • Ich halte das für richtig, und die Lösung ist Sicherheit durch Kompartimentierung. Siehe: https://qubes-os.org

  • Ich musste nur einen Satz lesen und wusste sofort, dass der Entwickler Schwede ist

    • Für alle, die damit nicht vertraut sind: In Schweden nimmt man den Sommerurlaub ernst. 25–30 Tage Urlaub pro Jahr plus Feiertage sind normal, und wenn Mitarbeitende Urlaub beantragen können, den sie auch tatsächlich nehmen dürfen, ist es praktisch gesetzlich vorgeschrieben, vier zusammenhängende Wochen Sommerurlaub zu ermöglichen
      Siehe: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • Als Norweger hatte ich genau denselben Gedanken. In Norwegen steht im Juli im Grunde alles still
    • Ich musste genauso lachen. Auch meine Hauptfirma hat ein schwedisches Büro, und deren Sommerurlaub ist legendär
      Wir haben auch ein US-Büro, und der Kulturschock der Amerikaner ist jedes Mal aufs Neue sehenswert
    • Ich dachte sofort an genau den Typen. Es gibt kaum jemanden, der ähnlich sehr nach Aufmerksamkeit hungert wie er

  • In Europa, zum Beispiel in Deutschland, sind 20–30 Tage bezahlter Urlaub und unbegrenzte Krankentage normal. Dauert die Krankmeldung länger als drei Tage, braucht man ein ärztliches Attest
    Wenn man im Urlaub krank wird, bekommt man diese Urlaubstage zurück. Wenn man während des Urlaubs plötzlich arbeiten muss, kann diese Zeit nicht als Urlaub gelten. Im Allgemeinen kann man nicht ohne Kündigungsfrist entlassen werden, daher ist die Beschäftigungssicherheit hoch, und selbst bei Arbeitslosigkeit gibt es Unterstützung, sodass man mit einem Notgroschen von etwa 6.000 Dollar sehr stabil lebt. Führt das dazu, dass unfähige Leute nicht entlassen werden? Nein. Man kann sie immer noch entlassen, man muss sich danach nur noch etwa einen Monat länger mit ihnen beschäftigen. Das ist kein großer Preis
    Wie das möglich ist und wer es subventioniert? Ganz einfach: Alle tragen mit ein paar Prozent ihres Einkommens zur Finanzierung dieses Systems bei. Ein paar Prozent, ein paar Dollar — und man muss sich faktisch keine Sorgen mehr machen zu verhungern oder obdachlos zu werden
    Auch ihr könnt so ein System haben, wenn ihr abstimmt, demonstriert und die Demokratie nutzt, um das Leben für alle besser statt schlechter zu machen
 
GN⁺ 4 시간 전
Lobste.rs-Kommentare

  • Man sagt zwar: „Die Bösen machen keine Pause“, aber wir sollten trotzdem eine machen.
    Ich hoffe, du hast einen schönen Urlaub, du hast ihn dir absolut verdient. Und andere, die sich unter Druck gesetzt fühlen, sollten Urlaub in Erwägung ziehen.

  • Die Bösen werden ohnehin keine Vulnerability Reports schicken, daher scheint sich an dieser Bedrohung nichts zu ändern, nur weil man in Bereitschaft bleibt.
    Persönlich finde ich sogar vier Wochen Urlaub eher kurz, aber vielleicht denke ich da zu französisch.

    • Daniel spielt wohl unterschwellig auf das schwedische Konzept des industrisemester an.
      Üblicherweise bekamen schwedische Produktionsbetriebe im Juli den Großteil ihrer Belegschaft frei, während in dieser Zeit die Werke inspiziert, gewartet und repariert wurden. Auch heute versuchen viele, ihren Jahresurlaub in den Monat nach der Sommersonnenwende zu legen; gesetzlich fällt diese auf den Samstag zwischen dem 20. und 26. Juni.
    • Es ist nicht einmal kompletter Urlaub. Er sagte ja, dass er bei Supportvertrags-Problemen weiterhin reagieren werde, also ist es effektiv sogar noch kürzer :-D

  • Hoffentlich genießt er den Urlaub :)
    Allerdings war ihm vielleicht nicht klar, dass er mit dem Beitrag, in dem Mythos indirekt damit angab, nur einen einzigen Bug gefunden zu haben, ins Wespennest gestochen hat.

    • Vielleicht war der wahre Grund, warum die US-Regierung den Zugang zu den neuesten Anthropic-Modellen blockiert hat, dass man Daniel Urlaub verschaffen wollte.
    • Der Vergleich passt nicht so richtig. Daniel ist schon seit Jahren von einem Bienenschwarm umgeben, und alle waren damit beschäftigt, ihren Ruf aufzupolieren, um sich ein maßgebliches curl-CVE zu sichern.

  • So etwas zu sehen, ist schön. Hoffentlich bringt es auch andere Open-Source-Maintainer dazu, ihr eigenes Wohlergehen zu priorisieren.

  • Gefällt mir. Ich wünschte, andere Projekte würden genauso vorgehen.