L’été du bonheur de curl

 (daniel.haxx.se)
2 points par GN⁺ 4 시간 전 | 2 commentaires | Partager sur WhatsApp
  • Le projet open source curl suspendra la réception et le traitement des signalements de vulnérabilités pendant tout le mois de juillet 2026 afin de garantir un temps de repos à ses mainteneurs
  • Le formulaire de soumission HackerOne sera désactivé à partir du 1er juillet 2026 à 00:00 CEST et rouvrira le 3 août 2026 à 09:00 CEST
  • Les signalements de sécurité et de vulnérabilités envoyés à l’adresse e-mail de sécurité ne seront pas non plus traités, et curl n’accepte généralement pas les signalements de vulnérabilités par e-mail
  • En conséquence, le calendrier de sortie de la version 8.22.0 est repoussé de deux semaines et ajusté au 2 septembre 2026
  • Les titulaires d’un contrat de support payant continueront de bénéficier d’un service complet pendant cette période, tandis que les suivis des issues et pull requests sur GitHub resteront ouverts comme d’habitude

Calendrier clé et périmètre d’application

  • Pendant la période L’été du bonheur de curl, le projet curl ne recevra ni ne traitera aucun signalement de vulnérabilité pendant tout le mois de juillet 2026
    • Le début est fixé au 1er juillet 2026 à 00:00 CEST
    • La reprise des soumissions est prévue le 3 août 2026 à 09:00 CEST
  • Le formulaire de soumission HackerOne sera suspendu à partir du 1er juillet 2026 et les soumissions redeviendront possibles le lundi 3 août
  • L’adresse e-mail de sécurité ne servira pas non plus de canal de traitement des signalements de sécurité et de vulnérabilités pendant cette période
    • Même les problèmes qui, selon vous, devraient être signalés au projet curl durant cette période devront attendre
    • curl n’accepte généralement pas les signalements de vulnérabilités par e-mail, et cela restera vrai pendant cette période de vacances comme après

Impact opérationnel et exceptions

  • De vraies vacances

    • Les mainteneurs de curl comptent profiter de l’été grâce à une pression réduite, marcher davantage dehors et souffler un peu
    • Certains mainteneurs pourront aussi voir d’autres endroits pendant cette période
    • Il pourrait aussi y avoir plus de temps pour corriger des bugs ou travailler sur du nouveau code, ce qui est considéré comme un travail amusant

  • Effets secondaires

    • Afin de dégager du temps pour traiter les sujets qui pourraient s’être accumulés début août, la date de sortie de 8.22.0 est repoussée de deux semaines
    • La sortie de 8.22.0 est actuellement prévue pour le 2 septembre 2026

  • Hausse des signalements de vulnérabilités

    • Le projet curl subit une forte pression depuis environ quatre mois
    • Il a actuellement besoin de repos et ne s’attend pas à ce que cet afflux massif cesse

  • GitHub

    • Les suivis des issues et des pull requests de curl sur GitHub resteront ouverts et actifs comme d’habitude

  • Autres projets open source

    • Si d’autres projets open source veulent participer à l’Été du bonheur 2026, ils n’ont qu’à le faire et à en informer l’équipe curl
    • Il est recommandé de prendre soin de soi en priorité

  • Les mauvaises personnes ne prennent pas de vacances

    • Les mauvaises personnes ne s’arrêtent peut-être pas, mais les mainteneurs de curl, eux, si

  • Situations d’urgence

    • Même en cas d’urgence, les mainteneurs de curl ne liront cela qu’en août
    • Pour que cela soit lu plus tôt, il faut un contrat de support

  • Exception contractuelle

    • Toutes les personnes disposant d’un contrat de support payant recevront un service complet et approprié pendant cette période

À lire aussi

2 commentaires

 
GN⁺ 3 시간 전
Avis sur Hacker News

  • Le titre masque l’essentiel. Il s’agit d’un moyen d’obtenir des vacances d’été tout en encourageant des contrats de support entreprise qui permettent de continuer à financer le projet
    Je crois que c’est la première fois que j’entends parler d’un modèle économique liant ainsi open source / support / vacances d’été, et j’aime bien l’idée

    • J’ai trouvé l’idée bonne, et l’open source pourrait aussi envisager un calendrier du type 6 mois de support public + 6 mois de support entreprise
      L’open source obtiendrait plus de financement, et les entreprises pourraient bénéficier de support à moindre coût plutôt que d’embaucher un salarié à temps plein juste pour une dépendance open source donnée
    • Je pensais que le contrat de support entreprise inexistant de curl était une façon polie d’envoyer promener les responsables administratifs un peu idiots : https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • C’est une approche extrêmement peu européenne. Les entreprises européennes ignorent généralement même leurs clients payants de mai à août

  • La formule « les méchants ne se reposent pas, mais nous, si » apporte une humanité bienvenue à une époque déshumanisée

    • C’est encore mieux parce qu’il semble y avoir une solution si quelque chose a vraiment besoin d’être corrigé
      En mode : « signez un contrat de support et on lira votre message plus tôt »
    • Je crains que cela n’incite les acteurs malveillants à se concentrer sur la recherche de zero-day afin d’exploiter librement les vulnérabilités qu’ils pourraient découvrir pendant ce mois. Cela dit, je ne doute pas qu’eux aussi aient besoin de repos

  • Pour les personnes qui veulent vraiment se détacher complètement du travail pendant les vacances, le mieux est de faire en sorte qu’il soit tout simplement impossible de travailler
    Laisser les appareils professionnels sur place, se déconnecter de tous les comptes, sauvegarder les clés de 2FA sur papier puis s’en débarrasser pour que son ou sa partenaire ne puisse pas les rendre pendant les vacances, etc. Je suis même allé dans des pays où le télétravail n’était pas autorisé. Ça a l’air extrême, mais c’était à ce point sérieux. Écrit par un ancien accro au travail

    • L’une des raisons pour lesquelles j’ai quitté l’Amérique du Nord pour l’Europe, c’est que ce comportement y est normalisé. La différence culturelle est énorme
      En Allemagne, quand on est en vacances, on est tout simplement injoignable. On est traité comme si on n’existait plus jusqu’au retour, on ne lit pas ses e-mails et on laisse ses appareils au bureau. Et si on tombe malade pendant ses vacances, on récupère ses jours de congé, parce qu’ils sont faits pour se reposer et récupérer
    • J’ai un point de vue un peu différent. Répondre occasionnellement à des e-mails pendant les vacances me semble acceptable, mais en contrepartie l’entreprise devrait aussi accepter que l’on gère parfois des affaires personnelles pendant le temps de travail ; sinon l’échange n’est pas équitable
      Si l’entreprise contrôle strictement les heures d’arrivée et de départ, oblige à poser des congés payés pour chaque démarche personnelle de 30 minutes, ou laisse le travail dépasser régulièrement les 40 heures hebdomadaires, alors moi aussi j’arrêterai de travailler « hors horaires ». Mais si l’entreprise est raisonnable, je peux l’être aussi
    • Quand je travaillais dans une banque, l’une des bonnes pratiques était le congé bloqué. Les auditeurs surveillaient la capacité des employés à intervenir en continu, et ceux disposant de certains niveaux d’autorisation devaient prendre obligatoirement N jours de congé consécutifs avec leurs droits de connexion désactivés
      C’était un excellent outil pour débusquer des bus factors cachés
    • Ça ressemble à beaucoup trop de travail supplémentaire. Si possible, il suffit de garder le travail sur le portable / l’ordinateur professionnel, puis de laisser celui-ci chez soi ou au bureau
      Pas besoin de se connecter et de se déconnecter de 20 comptes
    • Mon entreprise a fini par m’imposer ça par accident, et c’est excellent
      Avant, je pouvais travailler à distance en me connectant au poste du bureau depuis mon ordinateur portable ou de bureau personnel via VPN+RDC. Maintenant, on m’a donné un portable, mais l’authentification à distance ne fonctionne pas, et l’entreprise n’a pas l’intention de corriger ça à cause d’autres priorités. Donc si je n’ai pas ce portable sur moi, je ne peux tout simplement pas travailler, et comme je transporte déjà des appareils personnels, je ne vais pas en plus emporter le portable pro. Si je ne prends même pas mes appareils personnels, alors de toute façon je ne suis pas dans une situation où j’allais emmener un ordinateur portable quel qu’il soit
      Je ne pense pas être accro au travail, mais je suis du genre à ressentir du stress 24 h/24 dès que j’ai l’impression de pouvoir aider. Le fait de ne pas pouvoir travailler du tout hors du bureau m’aide réellement. Littéralement, il n’y a rien que je puisse faire, et surtout, comme c’est l’entreprise qui a créé cette situation, ça m’empêche de ressentir le même stress
      [1] À part le boîtier de connexion VPN et l’appareil MFA sur un vieux téléphone, rien de lié au travail — ni Teams ni e-mail — n’atteint mes appareils personnels
      [2] J’ai installé uniquement un faux compte Google et une appli MFA sur un petit vieux téléphone réinitialisé d’usine

  • libexpat (« Expat ») et uriparser suivent eux aussi les vacances sécurité de curl et n’accepteront pas de nouveaux signalements de vulnérabilités à partir d’aujourd’hui et jusqu’au 2026-08-01
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • Pour ceux qui pensent que cela pourrait avoir un impact sur la sécurité, curl est suffisamment mature pour que la probabilité d’un bug grave soit pratiquement nulle, et même s’il y en avait un, quelqu’un trouverait bien un moyen de contacter Daniel et son équipe ; le plus important est que les correctifs arrivent chez les gestionnaires de paquets et soient déployés
    La release upstream peut attendre

    • C’est justement le point clé. Ils ne vont pas traiter les signalements de vulnérabilités. Ils partent en vacances
    • Même si curl lui-même n’a pas de vulnérabilité, curl reste un outil qui télécharge des données arbitraires depuis Internet ; il devrait donc de toute façon être exécuté dans un sandbox strict
      Le simple fait de télécharger des données arbitraires vers le shell peut suffire à déclencher accidentellement des vulnérabilités dans d’autres parties de l’environnement

  • Impossible de ne pas applaudir cette décision. Les mainteneurs de projets open source libres sont en surcharge permanente pour une rémunération quasi nulle, et les LLM ont encore fait exploser la charge liée à la gestion des demandes de fusion
    Le seul fait qu’ils continuent à fournir du support aux utilisateurs payants est déjà largement suffisant

  • Je compatis avec les mainteneurs, mais au fond, cela révèle une fois de plus que nous dépendons sans solution de secours d’un petit nombre d’individus qui travaillent presque gratuitement
    En général, les organisations échelonnent les congés pour éviter ce genre de situation. Elles n’ont pas vraiment le choix à cause des exigences des clients. Ici, tout le monde est client de curl, mais en réalité ce n’est pas vraiment le cas. Cela me semble être une zone grise étrange et malsaine qui n’est bonne pour personne. Il est même surprenant et triste que curl n’ait pas les moyens financiers de maintenir une astreinte pendant un mois

    • Ce qu’il y a d’extraordinaire avec les logiciels libres et open source, c’est que s’il n’y a pas de mainteneur, on a l’ensemble des droits et tout le code source, donc on peut le corriger soi-même ou payer quelqu’un pour le faire
      Cette relation ne devient malsaine que lorsqu’on projette des attentes irréalistes sur l’absence de garantie
    • En fait, si. À la fin du billet, il est dit qu’en cas de contrat de support, il y aura une réponse et que les problèmes de sécurité seront aussi traités
      L’idée principale du billet semble d’ailleurs être, si vous avez besoin de support, d’acheter un contrat de support
    • Si
      Il est écrit : « toutes les personnes disposant d’un contrat de support payant reçoivent bien sûr un service complet et approprié pendant cette période également »
    • Le billet dit clairement que si l’on a un contrat de support payant, l’astreinte continue comme d’habitude
    • Je pense que cette personne s’inquiète de ce scénario, tout en n’étant probablement pas prête à payer elle-même le coût de cette astreinte

  • Le système actuel, qui consiste à découvrir sans cesse des vulnérabilités, les signaler, les analyser, puis les corriger et déployer de nouvelles versions à tous les utilisateurs, est manifestement non durable
    Le secteur doit trouver un autre système pour gérer les bugs et les problèmes de sécurité. Aujourd’hui, le secteur préfère fermer les yeux et transformer son propre échec en opportunité de recherche de rente

    • Quelle serait une meilleure solution ?
      Et quel serait un exemple de recherche de rente dans l’open source ?
    • Je pense que c’est juste, et que la solution est la sécurité par compartimentation. Voir : https://qubes-os.org

  • En lisant une seule phrase, j’ai tout de suite su que le développeur était suédois

    • Pour ceux qui ne connaissent pas, la Suède prend les vacances d’été au sérieux. 25 à 30 jours de congés par an + les jours fériés, c’est courant, et s’il existe des congés que l’employé peut demander et prendre, il est en pratique légalement exigé de permettre 4 semaines consécutives de vacances d’été
      Référence : https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • En tant que Norvégien, j’ai pensé la même chose. En Norvège, en gros, tout s’arrête en juillet
    • J’ai ri exactement de la même manière. Mon entreprise principale a aussi un bureau en Suède, et leurs vacances d’été sont légendaires
      Nous avons aussi un bureau aux États-Unis, et le choc culturel des Américains reste nouveau à chaque fois qu’on le voit
    • J’ai tout de suite su que c’était lui. Il n’y a presque personne d’aussi avide d’attention que lui

  • En Europe, par exemple en Allemagne, 20 à 30 jours de congés payés et des arrêts maladie illimités sont la norme. Si l’arrêt maladie dure plus de 3 jours, un certificat médical est requis
    Si l’on tombe malade pendant ses congés, ces jours de congé sont recrédités. Si l’on doit soudainement travailler pendant ses vacances, ce temps ne peut pas être considéré comme du temps de congé. En général, on ne peut pas être licencié sans préavis, ce qui donne une forte sécurité de l’emploi, et même en cas de perte d’emploi, il existe une aide au chômage ; avec environ 6 000 dollars d’épargne d’urgence, on est donc dans une situation très stable. Est-ce que cela signifie que les personnes incompétentes ne sont pas licenciées ? Non. On peut toujours les licencier, il faut simplement les gérer pendant un mois de plus environ. Ce n’est pas un grand prix à payer
    Comment cela est-il possible et qui finance cela ? Tout le monde verse simplement quelques pourcents de son revenu pour faire tenir ce système. Avec quelques pourcents, quelques dollars, on n’a pratiquement pas à craindre de mourir de faim ou de se retrouver à la rue
    Vous aussi, vous pouvez avoir ce type de système si vous votez, manifestez et utilisez la démocratie pour améliorer la vie de tout le monde au lieu de la rendre pire
 
GN⁺ 4 시간 전
Réactions sur Lobste.rs

  • « Les méchants ne prennent jamais de pause », mais nous, si.
    Bonnes vacances, elles sont amplement méritées. J’espère aussi que les autres qui ressentent la pression envisageront de prendre des vacances

  • Les méchants n’enverront pas non plus de rapport de vulnérabilité, donc je ne vois pas en quoi rester en alerte changerait quoi que ce soit face à cette menace.
    Personnellement, je trouve même que 4 semaines de vacances c’est un peu court, mais c’est peut-être juste ma façon très française de voir les choses.

    • Daniel semble faire une allusion discrète au concept suédois d’industrisemester.
      En général, en juillet, les usines suédoises donnaient des congés à la plupart de leurs employés, et cette période servait à inspecter, entretenir et réparer les installations. Encore aujourd’hui, beaucoup essaient de placer leurs congés annuels dans le mois qui suit le solstice d’été, qui tombe légalement un samedi entre le 20 et le 26 juin.
    • Ce n’est même pas des vacances complètes. Il a dit qu’il continuerait à répondre en cas de problème lié à un contrat de support, donc en pratique c’est encore plus court :-D

  • J’espère qu’il profitera bien de ses vacances :)
    Cela dit, avec ce billet où Mythos se vantait discrètement de n’avoir trouvé qu’un seul bug, il n’a peut-être pas réalisé qu’il donnait un coup dans une ruche.

    • Peut-être que la vraie raison pour laquelle le gouvernement américain a bloqué l’accès aux derniers modèles d’Anthropic était simplement de laisser Daniel partir en vacances.
    • La métaphore ne colle pas vraiment. Daniel est déjà entouré d’un essaim depuis des années, et tout le monde s’acharne à se faire un nom en essayant d’obtenir un CVE curl faisant autorité.

  • C’est agréable à voir. J’espère que cela encouragera d’autres mainteneurs open source à faire passer leur bien-être en priorité.

  • J’aime beaucoup. J’aimerais que d’autres projets adoptent aussi cette approche