From suspicion to published curl CVE
8 months ago
- #vulnerability
- #opensource
- #security
- curl项目的安全报告首先通过HackerOne平台提交,在评估期间保持保密状态。
- curl安全团队由七位经验丰富的核心维护者组成,能够快速评估漏洞报告。
- 多数报告因不构成安全问题被驳回,有效漏洞按严重等级分类(低危、中危、高危、关键)。
- 低/中危漏洞修复通过普通公开PR提交,不会提及安全性质。
- 高危/关键漏洞修复会在版本发布前48小时合并,以缩短风险暴露期。
- 团队会撰写详细的安全公告,说明受影响版本、修复方案并致谢报告者。
- curl作为CVE编号机构(CNA)可自主分配CVE ID。
- 版本发布前一周会向distros@openwall发送预通知,便于操作系统厂商准备补丁。
- 正式发布当日同步公开CVE详情、披露报告并通过Internet Bug Bounty发放奖金。
- 现任curl安全团队成员包括:Max Dymond、Dan Fandrich、Daniel Gustafsson、James Fuller、Viktor Szakats、Stefan Eissing和Daniel Stenberg。