curl 至福の夏

 (daniel.haxx.se)
2 ポイント 投稿者 GN⁺ 4 시간 전 | 2件のコメント | WhatsAppで共有
  • オープンソースの curl プロジェクトは、2026年7月の1か月間、脆弱性報告の受付と対応を停止し、メンテナーの休息時間を確保する
  • HackerOne の提出フォームは 2026年7月1日 00:00 CEST から停止され、2026年8月3日 09:00 CEST に再開される
  • セキュリティ用メールアドレスに送られたセキュリティ・脆弱性報告も処理されず、curl は通常、メールによる 脆弱性報告 を受け付けていない
  • この措置により 8.22.0 リリース日程は2週間後ろ倒しとなり、2026年9月2日 に調整された
  • 有償サポート契約者はこの期間中もフルサービスを受けられ、GitHub の issue と pull request トラッカーは通常どおり開いている

重要な日程と適用範囲

  • curl 至福の夏 期間中、curl プロジェクトは 2026年7月の1か月間、いかなる脆弱性報告も受け付けず、処理もしない
    • 開始時刻は 2026年7月1日 00:00 CEST
    • 受付再開時刻は 2026年8月3日 09:00 CEST
  • HackerOne 提出フォーム は 2026年7月1日から停止され、8月3日月曜日に再び提出可能になる
  • セキュリティ用メールアドレスもこの期間は セキュリティ・脆弱性報告 の処理経路にならない
    • この期間に curl プロジェクトへ報告すべきだと感じる問題も待つ必要がある
    • curl は通常メールでの脆弱性報告を受け付けておらず、この点は休暇期間中もその後も変わらない

運用への影響と例外

  • 本当の休暇

    • curl のメンテナーたちは、プレッシャーが減った時間を使って夏を楽しみ、より多く外を歩き、ひと息つく予定
    • 一部のメンテナーはこの期間に別の場所を見るかもしれない
    • バグ修正や新しいコード作業に使える追加の時間が生まれる可能性もあり、それは楽しい作業と見なされている

  • 副作用

    • 8月初旬に積み上がっているかもしれない課題を処理する時間を確保するため、8.22.0 リリース の日付は2週間後ろ倒しになる
    • 8.22.0 は現在 2026年9月2日 にリリース予定

  • 脆弱性報告の増加

    • curl プロジェクトは過去およそ4か月の間、大きな プレッシャー を受けてきた
    • 現在は休息が必要であり、この大量流入が終わるとは期待していない

  • GitHub

    • curl の issuepull request トラッカーは GitHub 上で通常どおり開いており、アクティブな状態が維持される

  • 他のオープンソースプロジェクト

    • 他のオープンソースプロジェクトも 2026年の至福の夏に参加したいなら、そのまま実行して curl 側に知らせればよい
    • 自分自身を最優先でいたわることが推奨される

  • 悪い人たちは休まない

    • 悪い人たちは休まないかもしれないが、curl のメンテナーたちは休む

  • 緊急事態

    • 緊急事態があっても、curl のメンテナーたちが読むのは8月になる
    • もっと早く読んでもらうには サポート契約 が必要

  • 契約上の例外

    • 有償サポート契約があるすべての人は、この期間中も完全で適切なサービスを受けられる

関連記事

2件のコメント

 
GN⁺ 3 시간 전
Hacker Newsの意見

  • タイトルが肝心な点を埋もれさせている。これは夏休みを取りつつ、継続的な支援を受けられる企業向けサポート契約も促すやり方だ
    オープンソース/サポート/夏休みをこう結びつけたビジネスモデルは初めて聞いた気がするが、気に入った

    • このアイデアは良いし、オープンソースでも6か月の公開サポート + 6か月の企業サポートのような日程を導入してみる価値がある
      オープンソース側はより多くの資金を得られ、企業側は特定のオープンソースのために正社員を雇うより安くサポートを受けられる
    • curlの存在しない企業サポート契約は、愚かな書類担当者に丁寧に失せろと言うための仕組みだと思っていた: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • これは極めてヨーロッパ的でないアプローチだ。ヨーロッパの企業はたいてい5月から8月まで有料顧客のことさえ無視する

  • 「悪いやつらは休まないだろうが、我々は休む」という言葉が、非人間的な時代にうれしい人間味を与えている

    • 本当に修正が必要なら解決策があるように見えるので、なおさら良い
      「サポート契約を結べば、こちらがもっと早く読む」という話だ
    • 悪い側がその1か月のあいだに見つけた脆弱性を好き放題悪用しようとして、ゼロデイ探しに集中するのではないかと心配だ。それでも彼らに休息が必要だという点に疑いはない

  • 休暇のあいだ完全に仕事から離れたい人は、そもそも働けないようにするのがよい
    仕事用機器は置いて行き、すべてのアカウントからログアウトし、二要素認証キーは紙にバックアップしてから手元からなくし、休暇中はパートナーが返さないようにしてもらう、といった具合だ。実際にリモート勤務が認められていない国へ行ったこともある。狂っているように聞こえるが、それほど深刻だった。元ワーカホリックより

    • 北米を離れてヨーロッパへ移った理由の一つが、こういうことが当たり前になっている点だ。文化差は非常に大きい
      ドイツでは休暇中なら本当に連絡不能だ。戻るまではこの世にいない人として扱われ、メールも読まず、機器もオフィスに置いていく。さらに休暇中に病気になれば休暇日数は戻されるが、それは休暇日が休み、回復するためのものだからだ
    • 私の見方は少し違う。休暇中にときどきメールへ返事をするのは構わないし、その代わり会社も勤務時間中にたまに私用を片づけることを許容すべきで、それで公平な取引だと思う
      会社が出退勤時間を厳密に数えたり、30分の私用のたびに有給休暇を使えと言ったり、仕事が恒常的に週40時間を超える方向へ流れるなら、私も「勤務時間外」の業務をやめるだろう。しかし会社が合理的なら、私も合理的に接することができる
    • 銀行で働いていたときに良かったことの一つがロックアウト休暇だった。監査担当者は、従業員が継続的に介入できる能力を気にしており、一定以上の権限を持つ従業員はログイン権限を無効化された状態で連続N日間の休暇を必ず取らなければならなかった
      隠れたバス係数を見つけるのに素晴らしい道具だった
    • これは追加作業が多すぎるように見える。可能なら仕事用のものは仕事用ノートPC/コンピュータにだけ置いて、それを家やオフィスに置いていけばよい
      20個のアカウントでログイン/ログアウトする必要はない
    • 会社が偶然これを強制する形になったのだが、とても良い
      以前は個人のノートPCやデスクトップからVPN+RDCでオフィスのデスクトップに接続してリモートで仕事ができた。今はノートPCを支給されたが、リモート認証が機能せず、会社も別の優先事項のため直す気がない。だからそのノートPCを持っていなければ、そもそも仕事ができないし、すでに個人用機器を持ち歩いている状況で会社のノートPCまで持ち歩きはしない。個人用機器すら持って行かないなら、最初からどんなノートPCも持って行く状況ではないということだ
      自分はワーカホリックではないと思うが、助けられると感じると24時間ずっとストレスを受けるタイプだ。オフィスの外ではまったく仕事ができないという事実が実際に助けになっている。文字どおりできることが何もなく、とくに会社がそういう状態を作ったのなら、同じやり方でストレスを感じなくて済む
      [1] VPNトークンと古い携帯電話のMFAデバイス以外、Teamsであれメールであれ、仕事関連のものは個人用機器に一切触れない
      [2] 工場出荷状態に初期化した小さな古い携帯電話に、ダミーのGoogleアカウントとMFAアプリだけを入れてある

  • libexpat("Expat")とuriparserもcurlのセキュリティ休暇に従い、本日から2026-08-01までは新たな脆弱性報告を受け付けない
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • セキュリティへの影響を懸念する人に対して言えば、curlは十分に成熟しており、重大な影響を持つバグの可能性は実質的に0に近いし、仮にそうしたバグがあっても誰かがDanielたちに連絡する方法を見つけるだろうし、より重要なのはパッケージ管理者にパッチが入り配布されることだ
    アップストリームリリースは待てる

    • それこそが核心だ。彼らは脆弱性報告を受け取らない予定だ。休暇に行くのだ
    • curl自体に脆弱性がなくても、curlは任意のインターネットデータをダウンロードする道具なのだから、そもそも徹底したサンドボックスの中にあるべきだ
      任意データをシェルにダウンロードするだけでも、環境のほかのあらゆる部分にある脆弱性を偶然突いてしまう可能性がある

  • この決定には拍手を送るしかない。自由なオープンソースプロジェクトのメンテナは、ほとんど報酬もないまま常に過負荷状態で、今ではLLMのせいでマージリクエスト管理の負担がさらに爆発的に増えている
    有料ユーザーには引き続きサポートを提供するという事実だけでも十分だ

  • メンテナーたちには共感するが、結局のところ、私たちがほぼ無償で働く少数の個人にバックアップなしで依存しているという事実が改めて明らかになった
    普通、組織はこうした事態を避けるために休暇をずらして取る。顧客が求めるのでそうせざるを得ない。ここでは全員がcurlの顧客だが、実際にはそうでもない。誰にとっても良くない、奇妙で不健全なグレーゾーンだと思う。curlでさえ1か月間オンコールを置くだけの資金的余裕がないという点には、驚きと悲しさを覚える

    • 自由なオープンソースソフトウェアの驚くべき点は、メンテナーがいなければ、完全な権利と全ソースコードを持っているのだから、自分で直すか、誰かに金を払って直してもらえるということだ
      この関係が不健全になるのは、無保証を非現実的な期待と混ぜて投影するときだけだ
    • 実際にはある。記事の最後で、サポート契約があれば対応し、セキュリティ問題も処理すると書いてあった
      記事の要点も、サポートが必要ならサポート契約を買えということに近く見える
    • ある
      「有料サポート契約のあるすべての人は、もちろんこの期間中も完全かつ適切なサービスを受ける」と書かれている
    • 記事には明確に、有料サポート契約があれば普段どおりオンコールが維持されると書かれている
    • このシナリオを心配しつつも、その人がオンコール待機の費用を自分で払うつもりはないのだろうと思う

  • 脆弱性を発見し、報告し、分析したうえでパッチを当て、新しいバージョンをすべてのユーザーに配布する過程を繰り返し続けなければならない現在のシステムは、明らかに持続不可能
    業界はバグとセキュリティ問題を扱う代替システムを見つけるべきだ。今の業界は、見て見ぬふりをしながら自らの失敗をレントシーキングの機会へと変えるほうを好んでいる

    • より良い解決策とは何だろう?
      それと、オープンソースにおけるそのレントシーキングの例とは何?
    • その通りだと思うし、解決策は区画化によるセキュリティだ。参考: https://qubes-os.org

  • 1文読んだだけで、その開発者がスウェーデン人だとすぐ分かった

    • 馴染みのない人のために言うと、スウェーデンでは夏休みを真剣に考える。年25〜30日の休暇 + 祝日が普通で、従業員が希望して取得できる休暇があるなら、4週連続の夏季休暇を認めることが事実上法律で求められている
      参考: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • ノルウェー人としても同じことを思った。ノルウェーは基本的に7月に止まる
    • 私もまったく同じことで笑った。私の本業の会社にもスウェーデンのオフィスがあるが、彼らの夏休みは伝説的だ
      アメリカのオフィスもあるが、アメリカ人たちが受けるカルチャーショックは見るたびに新鮮だ
    • まさにその人だと思った。あれほど注目に飢えている人はそう多くない

  • ヨーロッパ、たとえばドイツでは、20〜30日の有給休暇と無制限の病気休暇が普通だ。病気休暇が3日を超える場合は医師の診断書が必要になる
    休暇中に病気になれば、その休暇日は戻ってくる。休暇中に急に仕事をすることになったら、その時間は休暇時間ではあり得ない。一般的には予告期間なしで解雇されることはないので雇用の安定性が高く、失業しても失業支援があるため、緊急資金として約6,000ドルあれば非常に安定している。では無能な人が解雇されなくなるのかといえば、そうではない。依然として解雇はできるし、その後1か月ほど余計に対応すればよいだけだ。大した代償ではない
    これがどうして可能で誰が補助しているのかといえば、皆が所得の数パーセントを出してこの制度を支えているだけだ。数パーセント、数ドルで、飢えたりホームレスになったりする心配を実質的にしなくて済む
    皆さんも投票し、デモをし、民主主義を使って、みんなの生活を悪くするのではなく良くするなら、こういう制度を持つことができる
 
GN⁺ 4 시간 전
Lobste.rs の反応

  • 「悪いやつらは休まない」とはいえ、それでも私たちは休むべき。
    良い休暇になることを願っているし、それに十分値する。プレッシャーを感じているほかの人たちも、休暇を検討してみるとよさそう

  • 悪いやつらが 脆弱性レポート を送ってくれるわけでもないので、待機していたところでこの脅威に違いはなさそう。
    個人的には 4週間の休暇 でも少し短いと思うけど、私がフランス的に考えすぎているのかもしれない

    • Daniel はスウェーデンの industrisemester という概念をそれとなく指しているように見える。
      ふつう7月にはスウェーデンの製造工場が従業員の大半に休暇を与え、その間に工場の点検・保守・修理をしていた。今でも多くの人が夏至の後1か月の間に年次休暇を取ろうとし、法律上の夏至は6月20日から26日の間の土曜日となっている
    • 完全な休暇というわけでもない。サポート契約の問題 が起きれば引き続き対応すると言っているので、実際にはもっと短いわけだ :-D

  • 休暇を楽しめるといいね :)
    ただ、Mythos がバグをたった1件しか見つけられなかったとそれとなく自慢していた投稿 のせいで、うっかり蜂の巣をつついてしまったことに気づいていなかったのかもしれない

    • もしかすると、米国政府が最新の Anthropic モデル へのアクセスを止めた本当の理由は、Daniel に休暇を取らせるためだったのかもしれない
    • そのたとえはあまりしっくりこない気がする。Daniel はすでに何年も蜂の群れに囲まれていて、みんな権威ある curl CVE を得て名声を築こうと躍起になっていた

  • こういう姿勢はいいね。ほかの オープンソースメンテナー たちも、自分の健康や安寧を優先するきっかけになるといい

  • 気に入った。ほかのプロジェクトもこういうやり方を見習ってほしい