ハクソク

世界を動かす技術を、日本語で。

Curlは2026年7月に脆弱性報告を受け付けません

2026年6月15日原文(daniel.haxx.se)

概要

curlプロジェクト は2026年7月中、 脆弱性報告の受付を一時停止 します。 Hackeroneの報告フォームセキュリティ用メール も利用不可。 報告再開は 2026年8月3日 09:00 CEST から。 GitHubのIssueやPR は通常通り利用可能。 有償サポート契約者 は期間中も通常対応。

curl「夏の安息」2026年7月の脆弱性報告受付停止

  • curlプロジェクト は2026年7月の1か月間、 脆弱性報告の受付を全面停止
    • 期間:2026年7月1日 00:00 CEST ~ 2026年8月3日 09:00 CEST
  • Hackeroneの報告フォーム は7月1日より 一時停止
  • セキュリティ専用メールアドレス利用不可
    • この期間中に送付された報告は 一切対応しない方針
  • 報告再開は 2026年8月3日(月)09:00 CEST から
  • メール経由での脆弱性報告は元々非推奨 であり、今後もこの方針は継続

本当の「バケーション」実施理由と影響

  • curlメンテナ はこの期間、 プレッシャーから離れてリフレッシュ
    • 外出や旅行、新機能開発やバグ修正などに専念
  • 脆弱性報告の増加 により、ここ数か月 大きな負荷 がかかっていた背景
  • リリーススケジュール にも影響
    • バージョン8.22.0のリリースは 2週間延期
    • 新しいリリース予定日: 2026年9月2日

サイドエフェクトとGitHub運用

  • 夏の安息 の直接的な影響として、 8月初旬の対応負担増加 が想定
  • GitHubのIssue・Pull Requestトラッカー通常通り稼働
    • バグ報告や機能提案は引き続き可能

他プロジェクトへの呼びかけ

  • 他のOSSプロジェクト にも「夏の安息」参加を推奨
    • 自身やチームの健康を 最優先 する文化の促進

緊急時・契約者対応

  • 緊急脆弱性 が発見された場合
    • 8月まで報告を 待つ必要あり
    • 早期対応希望の場合は 有償サポート契約 を推奨
  • 有償サポート契約者 には期間中も 通常通り対応

補足情報・クレジット

  • アイスクリーム画像: fotografierende(Pixabay)作
  • 本件はHacker Newsでも議論
  • Daniel (curlメンテナ)の リラックスした声明

Hackerたちの意見

悪者たちは休まないだろうな。 多分そうだね。でも、私たちは休むよ。人間らしさが感じられる、非人間的な時代において。

ただただ美しい、って感じ。

特に、もし本当に修正が必要なら解決策があるみたいだね。

サポート契約を結べば、私たちはそれについて早めに知ることができるよ。

これが悪い奴らにゼロデイを見つけることに集中させるんじゃないかと心配してるけど、彼らも休みが必要だってことは疑わないよ。

これ、最高だね。いい判断だ。

この決定には拍手を送りたい。FOSSプロジェクトのメンテナは、ほぼゼロの報酬で常に圧倒されてるし、LLMが登場してからはマージリクエストの管理がさらに大変になった。実際に有料ユーザーにサポートを提供し続けているのは、それだけで十分だよ。

ここにいる人たちで、休暇中に完全に仕事から離れたい人へ:仕事ができないようにしちゃおう!仕事用のデバイスは置いていこう!すべてのアカウントからログアウトして、2FAのキーは紙にバックアップした後、パートナーに休暇中は返さないでって言っておくとか。実際、私はリモートで働けない国に行ったことがある。クレイジーだけど、それくらい追い詰められてた。元ワーカホリックより。

マネージャーとして、休むべき時に働いている人には本当に注意するよ。仕事の時間には働いて、休む時間には働かない。良い慣行は、みんなが大切だけど、誰も代わりがきかないわけじゃないってことを意味する。チームと仕事は少し遅く進むけど、それでいいんだ。

すべてのアカウントからログアウトして、2FAキーを紙にバックアップした後に削除する 休暇に行くためだけに、かなりの手間がかかるみたいだね :) 別のアプローチを提案するよ。仕事を自動化して、携帯電話から作業できるようにすればいいんだ。私は数日間のハイキングや、家族での一週間のビーチ休暇に行くけど、有給休暇は取らないよ… 編集:ネガティブな反応はないよ。私の仕事の大部分はシステムを監視して質問に答えることだから。ほとんどのソーシャルアプリのユーザーよりも、携帯電話を使う時間は少ないよ!それでも月に数回はオフィスで重いコーディングもしてるし、細かいことを気にする自営業者だよ。仕事は苦痛である必要はないし、楽しむこともできるんだ!

北アメリカを離れてヨーロッパに来た理由の一つは、こういうことが普通になってるから。文化の違いは驚くべきものだよ。ドイツでは、休暇中は全く連絡が取れない。帰るまで世間からは死んでる状態。メールは読まれないし、デバイスはオフィスに置きっぱなし。もう一つ面白いのは、休暇中に病気になったら、休暇日数が戻ってくること。休暇日は休息と回復のためのものだからね。

メンテナに対して同情する気持ちはあるけど、これってまた、私たちがほんの数人の人に依存してることを浮き彫りにしてるよね。彼らは基本的に無報酬で働いていて、バックアップもない。普通の組織はこういう事態を避けるために休暇を調整するんだ。普通の組織は、顧客が求めるからこそそうしなきゃいけない。ここでは、私たち全員がcurlの顧客だけど、実際にはそうじゃない。誰にとっても良くない、健康的じゃない、微妙な状況だと思う。それに、curlですら誰かを1ヶ月待機させるための財政的余裕がないなんて、驚きと悲しみを感じる。

そうだよ。

有料のサポート契約を持っている人は、この期間中でももちろんフルで適切なサービスを受けられるよ。

Hacker Newsで議論の続きを見る