世界を動かす技術を、日本語で。

無駄な報告書で時間を浪費するなら、あなたを禁止し、公然と嘲笑します。

2026年1月22日原文(curl.se)

概要

curlプロジェクトは、curl製品に関する セキュリティ問題の報告 を受け付け。 報告者への 金銭的報酬や補償は一切なし。 正当な報告には 感謝とドキュメント上での謝辞 を明記。 無意味な報告には 厳しい対応 を取る可能性あり。 連絡方法とポリシー詳細 も明示。

curlプロジェクトのセキュリティ報告方針

  • curlオープンソースプロジェクト は、curlプロジェクトが開発した製品に関する セキュリティ問題 の報告を受け付け
  • 金銭的な報酬や補償は一切提供しない 方針
  • 報告が 確認された問題 であれば、 感謝の意と謝辞 を公式ドキュメントで明記
  • 無意味な報告や時間を浪費する内容 の場合、公に BANや嘲笑の対象 となる可能性
  • 連絡先メールアドレス :security@curl.se
  • GitHubセキュリティアドバイザリーページ :https://github.com/curl/curl/security/advisories
  • 脆弱性開示ポリシー :https://curl.se/dev/vuln-disclosure.html
  • 謝辞リスト :https://curl.se/docs/security.html
  • 有効期限 :2026年10月22日まで
  • 公式セキュリティ情報ページ :https://curl.se/.well-known/security.txt

セキュリティ報告時の注意点

  • 英語 での報告を推奨
  • curlプロジェクト製品以外の問題 は受け付け対象外
  • 無意味な報告 (例:再現性のないバグや誤検知)は 厳しい対応 の対象
  • 感謝と謝辞 は、 確認された有効な問題 報告者にのみ提供

参考情報・リンク集

  • セキュリティポリシー詳細 :https://curl.se/dev/vuln-disclosure.html
  • 報告者謝辞ページ :https://curl.se/docs/security.html
  • 公式セキュリティ情報 :https://curl.se/.well-known/security.txt
  • GitHubアドバイザリーページ :https://github.com/curl/curl/security/advisories

Hackerたちの意見

https://curl.se/docs/bugbounty.html

報告とパッチ、そして説得力のあるテストケースにお金がもらえるなら、価値があるかもしれないね。たとえ機械がそれを生成しても。

AIの新時代。

みんなこれが来るのは見越してたよね。正直、こんなに時間がかかるとは思わなかった。

ポリシーのリンク[0]ページには、まだバグバウンティプログラム[1]へのリンクがあって、金銭的補償についても話し合われてるよ。

それについては言及されてないけど、今月末で終わるみたいだよね。 https://news.ycombinator.com/item?id=46701733 https://news.ycombinator.com/item?id=46678710

最近OWASPのドキュメントをちょっと手伝ってるんだけど、インドの学生たちが意味不明な問題やPRを次々と開いてて、コミュニケーションやコードが完全に100% LLMのものなんだ。お互いにやり取りすることもあるし、メンテナーにとっては大きな頭痛の種だよ。Ghosttyがやってるように、すべてをディスカッションから始めるのがいいんじゃないかって提案したんだ。メンテナーだけが問題を作成して、PRは問題からしか出せないようにする。これでこういう怠けた試みを抑止できると思う。

へへ、あの無料Tシャツコンテストを思い出すな… くじ引きでTシャツがもらえるチャンスのために、ランダムなFOSSプロジェクトにクソみたいなPRを提出するって、何が悪いことになるんだろう? https://ongchinhwee.me/shitoberfest-ruin-hacktoberfest/

まあ、もし人々が採用するなら、LLMの無駄話でディスカッションが溢れるかもしれないね。でも今のところは、これがより良い解決策みたいだ。

これ見たことあるけど、低音量でも疲れるよね。大体こんな感じで進むんだよね:誰かがゴミみたいな問題を作る。別の誰かがアサインしてくれって言う。プロジェクトの誰かが「うちは問題をアサインしないよ」って言うかもしれない(このステップは後のステップには全く影響しない)。別の誰かがPRを提出する。さらに別の誰かが別のPRを出すかも。メンテナは、失礼にならずに本気の努力を無駄にしないように、どうやって問題やPRを閉じるか悩むんだよね。

インドの学生たちが履歴書を誇張して、LinkedInやGitHubのプロフィールに注目を集めてる。見かけだけの知識を持ってる人が多いけど、それはただのLLMのエコーチェンバー。彼らが貢献するコードはLLMからそのまま出てきてる。これ自体は、彼らが何をしているか分かっていれば問題ないんだけど、変更を求めると、全然分からないって人もいる。トーバルズが言ってた通り、コードのメンテナンスはLLMのおかげで頭痛のタネになるね。

企業の文脈でも気づいたよ。今年見たパフォーマンスフィードバックの約40%がAIで書かれてた。インドとアメリカの人たち。ヨーロッパからのはかなりオーガニックに見えたけど、次のサイクルでは変わるかもね。

Hacker Newsで議論の続きを見る