O verão da felicidade do curl

 (daniel.haxx.se)
2 pontos por GN⁺ 4 시간 전 | 2 comentários | Compartilhar no WhatsApp
  • O projeto open source curl vai suspender o recebimento e o processamento de relatórios de vulnerabilidades durante todo o mês de julho de 2026 para garantir um período de descanso aos mantenedores
  • O formulário de envio do HackerOne será desativado a partir de 1º de julho de 2026 às 00:00 CEST e reaberto em 3 de agosto de 2026 às 09:00 CEST
  • Relatórios de segurança e vulnerabilidades enviados para o endereço de e-mail de segurança também não serão processados, e o curl normalmente não aceita relatórios de vulnerabilidades por e-mail
  • Com essa medida, o cronograma da release 8.22.0 foi adiado em 2 semanas e ajustado para 2 de setembro de 2026
  • Clientes com contrato de suporte pago continuarão recebendo serviço completo nesse período, e os rastreadores de issues e pull requests no GitHub permanecerão abertos como de costume

Cronograma principal e escopo de aplicação

  • Durante o período do verão da felicidade do curl, o projeto curl não receberá nem processará nenhum relatório de vulnerabilidade durante todo o mês de julho de 2026
    • O início será em 1º de julho de 2026 às 00:00 CEST
    • O envio será retomado em 3 de agosto de 2026 às 09:00 CEST
  • O formulário de envio do HackerOne será desativado em 1º de julho de 2026 e voltará a aceitar envios na segunda-feira, 3 de agosto
  • O endereço de e-mail de segurança também não servirá como canal de processamento de relatórios de segurança e vulnerabilidades nesse período
    • Mesmo problemas que você considere que devam ser reportados ao projeto curl durante esse período terão de esperar
    • O curl normalmente não aceita relatórios de vulnerabilidades por e-mail, e isso continuará valendo tanto durante o período de férias quanto depois dele

Impacto operacional e exceções

  • Férias de verdade

    • Os mantenedores do curl planejam aproveitar o verão com menos pressão, caminhar mais ao ar livre e respirar um pouco
    • Alguns mantenedores talvez vejam outros lugares durante esse período
    • Também pode haver mais tempo para corrigir bugs ou trabalhar em código novo, o que é considerado uma parte divertida do trabalho

  • Efeito colateral

    • Para garantir tempo para lidar com questões que possam ter se acumulado no começo de agosto, a data da release 8.22.0 foi adiada em 2 semanas
    • A 8.22.0 está atualmente prevista para ser lançada em 2 de setembro de 2026

  • Aumento nos relatórios de vulnerabilidades

    • O projeto curl vem sofrendo grande pressão nos últimos cerca de 4 meses
    • Neste momento, precisa de uma pausa, e não espera que esse grande volume de entradas termine

  • GitHub

    • Os rastreadores de issues e pull requests do curl no GitHub continuarão abertos e ativos como de costume

  • Outros projetos open source

    • Se outros projetos open source quiserem participar do verão da felicidade de 2026, basta colocar em prática e avisar o pessoal do curl
    • É recomendável cuidar de si mesmo em primeiro lugar

  • Pessoas mal-intencionadas não descansam

    • Pessoas mal-intencionadas podem não descansar, mas os mantenedores do curl vão descansar

  • Situações urgentes

    • Mesmo em situações urgentes, os mantenedores do curl só vão ler em agosto
    • Para que seja lido antes, é necessário um contrato de suporte

  • Exceção contratual

    • Todas as pessoas com contrato de suporte pago continuarão recebendo serviço completo e adequado nesse período

Leituras relacionadas

2 comentários

 
GN⁺ 3 시간 전
Comentários do Hacker News

  • O título acabou escondendo o ponto principal. Isso é uma forma de incentivar tanto férias de verão quanto contratos de suporte corporativo contínuos
    Acho que é a primeira vez que vejo um modelo de negócios ligando open source/suporte/férias de verão desse jeito, e gostei

    • Gostei dessa ideia, e o open source também poderia adotar um cronograma tipo 6 meses de suporte público + 6 meses de suporte corporativo
      O open source conseguiria mais financiamento, e as empresas poderiam receber suporte de forma mais barata do que contratar alguém em tempo integral por causa de um open source específico
    • Achei que o inexistente contrato de suporte corporativo do curl fosse uma forma de mandar educadamente os burocratas idiotas irem pastar: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • Isso é uma abordagem extremamente não europeia. As empresas europeias normalmente ignoram até clientes pagantes de maio até agosto

  • A frase “os caras maus não vão descansar, mas nós vamos” passa uma humanidade bem-vinda em tempos desumanos

    • Fica ainda melhor porque parece haver uma solução se realmente for necessário corrigir algo
      Algo como: “se você assinar um contrato de suporte, nós vamos ler mais cedo”
    • Fico preocupado que o lado ruim passe esse mês focando em encontrar zero-days para explorar livremente as vulnerabilidades que descobrir nesse período. Ainda assim, não duvido que eles precisem descansar

  • Para quem quer realmente se desligar do trabalho nas férias, é melhor tornar impossível trabalhar de qualquer forma
    Deixe os dispositivos de trabalho para trás, saia de todas as contas, faça backup das chaves de autenticação em dois fatores em papel e depois se livre delas, e faça com que seu parceiro não possa devolvê-las durante as férias. Cheguei até a ir para países onde trabalho remoto não é permitido. Parece loucura, mas era esse o nível de seriedade. Escrito por um ex-viciado em trabalho

    • Um dos motivos de eu ter saído da América do Norte e ido para a Europa foi justamente que isso é normalizado lá. A diferença cultural é enorme
      Na Alemanha, se você está de férias, simplesmente fica incomunicável. É como se você não existisse no mundo até voltar, você nem lê e-mail e deixa os aparelhos no escritório. E se ficar doente durante as férias, recebe esses dias de férias de volta, porque férias existem para descansar e se recuperar
    • Minha visão é um pouco diferente. Acho ok responder e-mails de vez em quando durante as férias, contanto que a empresa também ache ok você resolver algumas coisas pessoais de vez em quando no horário de trabalho; aí vira uma troca justa
      Se a empresa controla rigidamente horários de entrada e saída, ou exige que você use férias pagas para cada compromisso pessoal de 30 minutos, ou se o trabalho começa a passar repetidamente de 40 horas por semana, então eu também vou parar com qualquer coisa de trabalho “fora do expediente”. Mas se a empresa for razoável, eu também posso ser razoável
    • Uma das coisas boas de trabalhar em banco era a férias de bloqueio. O pessoal de auditoria se preocupava com a capacidade de o funcionário continuar intervindo, e quem tinha certos níveis de privilégio precisava tirar N dias consecutivos de férias com o acesso de login desativado
      Era uma ferramenta excelente para descobrir fator ônibus oculto
    • Isso parece trabalho extra demais. Se possível, basta manter as coisas de trabalho só no notebook/computador de trabalho e deixar isso em casa ou no escritório
      Não precisa ficar entrando e saindo de 20 contas
    • Minha empresa acabou impondo isso sem querer, e foi ótimo
      Antes eu conseguia trabalhar remotamente acessando meu desktop do escritório do meu notebook pessoal ou desktop pessoal via VPN+RDC. Agora recebi um notebook, mas a autenticação remota não funciona, e a empresa não tem intenção de corrigir isso porque tem outras prioridades. Então, se eu não estiver com esse notebook, simplesmente não consigo trabalhar, e como já levo meu dispositivo pessoal, não vou sair carregando também o notebook da empresa. Se eu também não estiver levando meu dispositivo pessoal, então claramente não é uma situação em que eu levaria notebook nenhum
      Não me considero viciado em trabalho, mas sou do tipo que fica estressado 24 horas por dia se sentir que poderia ajudar. O fato de simplesmente não conseguir trabalhar fora do escritório ajuda de verdade. Literalmente não há nada que eu possa fazer e, especialmente quando a própria empresa criou essa situação, eu deixo de me estressar da mesma forma
      [1] Tirando o conector de VPN e o dispositivo de MFA em um celular antigo, nada relacionado ao trabalho — seja Teams ou e-mail — toca meus aparelhos pessoais
      [2] Tenho um celular antigo pequeno restaurado de fábrica com apenas uma conta Google descartável e o app de MFA instalados

  • libexpat (“Expat”) e uriparser também estão aderindo às férias de segurança do curl e não aceitarão novos relatos de vulnerabilidade a partir de hoje até 2026-08-01
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • Para quem acha que isso pode ter impacto na segurança, o curl é maduro o suficiente para que a chance de um bug grave seja praticamente zero, e mesmo que exista um, alguém vai encontrar uma forma de contatar o Daniel e sua equipe; mais importante ainda é que o patch entre nos gerenciadores de pacotes e seja distribuído
    O release upstream pode esperar

    • Esse é exatamente o ponto. Eles não vão receber relatos de vulnerabilidade. Eles vão tirar férias
    • Mesmo que o próprio curl não tenha vulnerabilidades, o curl deveria ficar dentro de uma sandbox rigorosa de qualquer forma, porque é uma ferramenta que baixa dados arbitrários da internet
      Só o ato de baixar dados arbitrários para o shell já pode acabar acionando vulnerabilidades em todas as outras partes do ambiente

  • Só dá para aplaudir essa decisão. Os mantenedores de projetos open source livres estão quase sempre sobrecarregados sem quase nenhuma compensação, e agora por causa de LLMs a carga de gerenciar pull requests explodiu ainda mais
    O simples fato de eles continuarem oferecendo suporte para usuários pagantes já é suficiente

  • Eu simpatizo com os mantenedores, mas no fim isso expõe de novo o fato de que estamos dependendo sem backup de um pequeno grupo de indivíduos que trabalha quase de graça
    Normalmente, organizações escalonam as férias para evitar esse tipo de situação. Elas não têm escolha porque os clientes exigem isso. Aqui, todos são clientes do curl, mas na prática também não são. Parece uma zona cinzenta estranha e pouco saudável que não é boa para ninguém. É surpreendente e triste que até o curl não tenha condições financeiras de manter alguém de plantão por um mês

    • O lado impressionante do software livre e de código aberto é que, se não houver mantenedor, você tem todos os direitos e todo o código-fonte, então pode corrigir por conta própria ou pagar alguém para corrigir
      Essa relação só fica doentia quando se projeta uma expectativa irreal misturada com ausência de garantia
    • Na prática, tem. No fim do texto foi dito que, se houver contrato de suporte, eles respondem e também tratam questões de segurança
      O ponto principal do texto também parece ser algo próximo de: se você precisa de suporte, compre um contrato de suporte
    • Tem
      Está escrito: “Todos que têm contrato de suporte pago, claro, continuam recebendo serviço completo e adequado também durante este período”
    • O texto diz claramente que, se houver contrato de suporte pago, o esquema de plantão continua como sempre
    • Eu me preocuparia com esse cenário, mas também acho que essa pessoa não vai pagar do próprio bolso para alguém ficar de plantão

  • O sistema atual, em que é preciso continuar encontrando vulnerabilidades, reportando, analisando, depois corrigindo e distribuindo novas versões para todos os usuários, é claramente insustentável
    O setor precisa encontrar um sistema alternativo para lidar com bugs e problemas de segurança. Hoje, o setor prefere fingir que não vê e transformar o próprio fracasso em uma oportunidade de extração de renda

    • Qual seria uma solução melhor?
      E qual seria um exemplo dessa extração de renda no open source de que você falou?
    • Acho que isso está certo, e a solução é segurança por compartimentalização. Veja: https://qubes-os.org

  • Li uma única frase e já soube na hora que o desenvolvedor era sueco

    • Para quem não está acostumado: a Suécia leva férias de verão a sério. 25–30 dias de férias por ano + feriados é o normal e, se o funcionário tiver férias disponíveis que possa solicitar e usar, permitir 4 semanas consecutivas de férias de verão é praticamente uma exigência legal
      Referência: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • Como norueguês, pensei a mesma coisa. A Noruega basicamente para em julho
    • Eu também ri exatamente disso. Minha empresa principal também tem escritório na Suécia, e as férias de verão deles são lendárias
      Também temos escritório nos EUA, e o choque cultural que os americanos levam continua novo toda vez que vejo
    • Achei que fosse justamente aquele cara. Quase não existe ninguém tão carente de atenção quanto ele

  • Na Europa, por exemplo na Alemanha, 20–30 dias de férias pagas e licença médica ilimitada são normais. Se a licença médica passar de 3 dias, é preciso apresentar atestado
    Se você ficar doente durante as férias, recebe esses dias de volta. Se de repente precisar trabalhar durante as férias, esse tempo não pode contar como férias. Em geral, não se pode ser demitido sem aviso prévio, então a estabilidade no emprego é alta e, mesmo se você perder o trabalho, há seguro-desemprego, então com algo como US$ 6 mil de reserva você já fica muito estável. Isso faz com que pessoas incompetentes não sejam demitidas? Não. Ainda dá para demitir; você só precisa lidar com a situação por mais um mês ou algo assim depois. Não é um preço alto
    Como isso é possível e quem subsidia? Simplesmente todos contribuem com alguns por cento da própria renda para sustentar esse sistema. Com alguns por cento, alguns dólares, você praticamente não precisa se preocupar em passar fome ou ficar sem teto
    Vocês também podem ter esse tipo de sistema se votarem, protestarem e usarem a democracia para tornar a vida de todos melhor, e não pior
 
GN⁺ 4 시간 전
Comentários do Lobste.rs

  • “Os caras maus não descansam”, mas nós precisamos descansar mesmo assim
    Espero que aproveite bem as férias; você merece. Também seria bom que outras pessoas que estão se sentindo pressionadas considerassem tirar férias

  • Os caras maus também não vão mandar relatórios de vulnerabilidade, então não parece que ficar de prontidão mudaria muita coisa nessa ameaça
    Pessoalmente, acho até 4 semanas de férias um pouco pouco, mas talvez eu esteja pensando de forma francesa demais

    • O Daniel parece estar fazendo uma referência indireta ao conceito sueco de industrisemester
      Em geral, era o período em julho em que as fábricas suecas davam férias para a maior parte dos funcionários, enquanto a planta era inspecionada, mantida e reparada. Ainda hoje, muita gente tenta marcar as férias anuais no intervalo de um mês após o solstício de verão, e por lei o solstício cai no sábado entre 20 e 26 de junho
    • Também não são férias completas. Ele disse que ainda responderá se surgir algum problema de contrato de suporte, então na prática acaba sendo menos do que isso :-D

  • Espero que aproveite as férias :)
    Só que talvez ele não tenha percebido que mexeu num vespeiro por causa daquele post em que o Mythos se gabou discretamente de ter encontrado apenas um bug

    • Talvez o verdadeiro motivo de o governo dos EUA ter bloqueado o acesso aos modelos mais recentes da Anthropic fosse dar férias ao Daniel
    • Acho que essa metáfora não encaixa muito bem. O Daniel já estava cercado por um enxame havia anos, e todo mundo estava ocupado construindo reputação para conseguir um respeitável CVE do curl

  • É bom ver isso. Tomara que sirva de incentivo para que outros mantenedores de código aberto também priorizem o próprio bem-estar

  • Gostei. Queria que outros projetos também seguissem esse caminho