Curl Security Moves Again
3 months ago
- #security
- #vulnerability-reporting
- #curl
- curl将于2026年3月1日起重新使用Hackerone平台提交安全漏洞报告,此前尝试使用GitHub的方案未能成功。
- curl安全团队发现GitHub平台缺少漏洞报告的关键功能,包括:私密团队评论、可定制的CVE字段、无效报告的规范披露机制。
- 安全报告系统的核心需求包括:私密提交、公开披露、讨论功能以及封禁滥用的能力。
- GitHub的主要缺陷体现在:不安全的邮件通知、无法编辑CVE编号、缺少标签系统、不支持团队私密评论。
- 邮件处理报告存在诸多困难,包括难以追踪未解决问题和披露无效报告。
- GitLab和Codeberg等其他平台同样缺乏专业的安全报告功能,无法满足curl的需求。