El verano feliz de curl

 (daniel.haxx.se)
2 puntos por GN⁺ 4 시간 전 | 2 comentarios | Compartir por WhatsApp
  • El proyecto de código abierto curl suspenderá la recepción y el procesamiento de reportes de vulnerabilidades durante todo julio de 2026 para garantizar tiempo de descanso a sus mantenedores
  • El formulario de envío de HackerOne se cerrará desde el 1 de julio de 2026 a las 00:00 CEST y volverá a abrir el 3 de agosto de 2026 a las 09:00 CEST
  • Los reportes de seguridad y vulnerabilidades enviados a la dirección de correo de seguridad tampoco se procesarán, y curl normalmente no acepta reportes de vulnerabilidades por correo electrónico
  • Como resultado, el calendario de lanzamiento de 8.22.0 se retrasa dos semanas y se ajusta al 2 de septiembre de 2026
  • Los clientes con contratos de soporte pagado seguirán recibiendo el servicio completo durante este periodo, y los rastreadores de issues y pull requests en GitHub seguirán abiertos como siempre

Fechas clave y alcance

  • Durante el periodo de El verano feliz de curl, el proyecto curl no recibirá ni procesará ningún reporte de vulnerabilidad durante todo julio de 2026
    • La hora de inicio es el 1 de julio de 2026 a las 00:00 CEST
    • La reanudación de envíos será el 3 de agosto de 2026 a las 09:00 CEST
  • El formulario de envío de HackerOne se suspenderá desde el 1 de julio de 2026 y volverá a aceptar envíos el lunes 3 de agosto
  • La dirección de correo de seguridad tampoco funcionará como canal de procesamiento de reportes de seguridad y vulnerabilidades durante este periodo
    • Incluso los problemas que sientas que debes reportar al proyecto curl durante este periodo tendrán que esperar
    • curl normalmente no acepta reportes de vulnerabilidades por correo electrónico, y eso seguirá siendo así durante el receso y también después

Impacto operativo y excepciones

  • Vacaciones de verdad

    • Los mantenedores de curl planean aprovechar este tiempo con menos presión para disfrutar el verano, caminar más al aire libre y tomar un respiro
    • Algunos mantenedores podrían incluso conocer otros lugares durante este periodo
    • También podría haber más tiempo para corregir bugs o trabajar en código nuevo, lo que se considera trabajo divertido

  • Efectos secundarios

    • Para asegurarse de tener tiempo de atender los asuntos que puedan acumularse a inicios de agosto, la fecha de lanzamiento de 8.22.0 se retrasa dos semanas
    • Actualmente, 8.22.0 está programado para lanzarse el 2 de septiembre de 2026

  • Aumento en los reportes de vulnerabilidades

    • El proyecto curl ha estado bajo una gran presión durante aproximadamente los últimos cuatro meses
    • Ahora necesita un descanso y no espera que este gran volumen de reportes vaya a terminar

  • GitHub

    • Los rastreadores de issues y pull requests de curl en GitHub seguirán abiertos y activos como siempre

  • Otros proyectos de código abierto

    • Si otros proyectos de código abierto quieren sumarse al verano feliz de 2026, solo tienen que hacerlo y avisarle a curl
    • Se recomienda cuidarse a uno mismo como prioridad

  • Los malos no descansan

    • Puede que los malos no descansen, pero los mantenedores de curl sí

  • Situaciones urgentes

    • Incluso en situaciones urgentes, los mantenedores de curl lo leerán en agosto
    • Para que lo lean antes, se necesita un contrato de soporte

  • Excepción por contrato

    • Todas las personas con contrato de soporte pagado recibirán un servicio completo y adecuado también durante este periodo

Lecturas relacionadas

2 comentarios

 
GN⁺ 3 시간 전
Opiniones de Hacker News

  • El título enterró lo importante. Esto es una forma de conseguir vacaciones de verano y también de fomentar contratos de soporte empresarial que permitan seguir recibiendo apoyo
    Creo que es la primera vez que escucho un modelo de negocio que una así código abierto/soporte/vacaciones de verano, y me gusta

    • La idea me pareció buena, y el código abierto también podría probar con un esquema como 6 meses de soporte público + 6 meses de soporte empresarial
      El código abierto conseguiría más financiamiento, y las empresas podrían recibir soporte más barato que contratar a alguien de tiempo completo solo por un proyecto específico de código abierto
    • Pensé que el inexistente contrato de soporte empresarial de curl era una forma de decirles cortésmente a los burócratas tontos que se fueran al demonio: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • Este es un enfoque extremadamente poco europeo. Las empresas europeas normalmente ignoran incluso a sus clientes de pago de mayo a agosto

  • La frase “los malos no descansarán, pero nosotros sí” le da una bienvenida humanidad a una época deshumanizante

    • Me gusta más porque parece que sí hay una solución si de verdad hace falta un arreglo
      Algo como “si firmas un contrato de soporte, lo leemos antes”
    • Me preocupa que el lado malo se concentre en buscar zero-days para explotar libremente las vulnerabilidades que encuentre durante ese mes. Aun así, no dudo que ellos necesiten descansar

  • Para la gente que quiere desconectarse por completo del trabajo en vacaciones, lo mejor es hacer que simplemente no pueda trabajar
    Dejar los equipos del trabajo, cerrar sesión en todas las cuentas, respaldar las llaves de autenticación de dos factores en papel y deshacerse de ellas, de modo que tu pareja no pueda devolvértelas durante las vacaciones. Incluso he ido a países donde no se permite el trabajo remoto. Suena loco, pero así de grave era. Lo escribe un ex adicto al trabajo

    • Una de las razones por las que me fui de Norteamérica a Europa fue que esto está normalizado. La diferencia cultural es enorme
      En Alemania, si estás de vacaciones, simplemente no estás disponible. Hasta que vuelves, es como si no existieras para el mundo; no lees correo y dejas los dispositivos en la oficina. Además, si te enfermas durante las vacaciones, te devuelven esos días, porque los días de vacaciones son para descansar y recuperarte
    • Mi perspectiva es algo distinta. Me parece bien responder de vez en cuando algún correo estando de vacaciones, pero a cambio la empresa también debería ver como normal que durante la jornada a veces uno atienda asuntos personales; solo así me parece un trato justo
      Si la empresa se pone estricta con la hora de entrada y salida, o te hace usar vacaciones pagadas por cada diligencia personal de 30 minutos, o el trabajo empieza a pasar repetidamente de 40 horas por semana, entonces yo también dejaría de hacer trabajo “fuera de horario”. Pero si la empresa es razonable, yo también puedo ser razonable
    • Una de las cosas buenas de trabajar en un banco eran las vacaciones obligatorias de bloqueo. A los auditores les preocupaba la capacidad de que un empleado siguiera interviniendo de forma continua, y quienes tenían cierto nivel de privilegios debían tomar obligatoriamente N días seguidos de vacaciones con el acceso de inicio de sesión deshabilitado
      Era una herramienta excelente para descubrir factores autobús ocultos
    • Esto parece demasiado trabajo extra. Si es posible, basta con dejar todo lo laboral solo en la laptop/computadora del trabajo, y dejarla en casa o en la oficina
      Así no hace falta iniciar y cerrar sesión en 20 cuentas
    • Mi empresa terminó imponiendo esto por accidente, y está buenísimo
      Antes podía conectarme de forma remota a la desktop de la oficina desde mi laptop o desktop personal usando VPN+RDC. Ahora me dieron una laptop, pero la autenticación remota no funciona, y la empresa no piensa arreglarla porque tiene otras prioridades. Así que, si no llevo esa laptop conmigo, simplemente no puedo trabajar, y como ya de por sí llevo dispositivos personales, no voy a andar cargando también la laptop de la empresa. Si tampoco llevara mis dispositivos personales, entonces ni siquiera sería una situación en la que me llevaría una laptop
      No creo ser adicto al trabajo, pero sí soy del tipo de persona que se estresa las 24 horas si siente que podría ayudar. Saber que literalmente no puedo trabajar fuera de la oficina sí ayuda de verdad. Literalmente no hay nada que pueda hacer, y sobre todo si la empresa lo dejó así, entonces ya no me estreso de la misma manera
      [1] Salvo el token de conexión VPN y un dispositivo MFA en un teléfono viejo, nada relacionado con el trabajo —ni Teams ni el correo— toca mis dispositivos personales
      [2] En un teléfono pequeño y viejo restaurado de fábrica, solo tengo instalada una cuenta dummy de Google y la app de MFA

  • libexpat (“Expat”) y uriparser también seguirán las vacaciones de seguridad de curl, y desde hoy no recibirán nuevos reportes de vulnerabilidades hasta 2026-08-01
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • Para quienes creen que podría haber impacto en la seguridad, curl es lo bastante maduro como para que la probabilidad de un bug grave sea prácticamente cercana a cero, e incluso si existiera uno, alguien encontraría la forma de contactar a Daniel y compañía; y lo más importante es que el parche llegue a los gestores de paquetes y se distribuya
    El lanzamiento upstream puede esperar

    • Exactamente ese es el punto. No van a recibir reportes de vulnerabilidades. Se van de vacaciones
    • Aunque curl en sí no tuviera vulnerabilidades, curl es una herramienta para descargar datos arbitrarios de internet, así que desde el principio debería estar dentro de un sandbox muy estricto
      Con solo descargar datos arbitrarios hacia un shell, podrías terminar activando por accidente vulnerabilidades en cualquier otra parte del entorno

  • No queda más que aplaudir esta decisión. Los mantenedores de proyectos libres y de código abierto están casi siempre sobrecargados y con muy poca compensación, y ahora además LLM hizo explotar todavía más la carga de gestionar solicitudes de incorporación
    El simple hecho de que sigan dando soporte a usuarios de pago ya es suficiente

  • Entiendo la empatía hacia los mantenedores, pero al final esto vuelve a dejar en evidencia que dependemos sin respaldo de unas pocas personas que trabajan casi gratis
    Normalmente las organizaciones escalonan las vacaciones para evitar este tipo de cosas. Se ven obligadas a hacerlo porque los clientes lo exigen. Aquí todos son clientes de curl, pero en realidad no lo son. Me parece una zona gris extraña y poco saludable para todos. Incluso resulta sorprendente y triste que ni siquiera curl tenga la capacidad financiera de mantener guardias durante un mes

    • Lo sorprendente del software libre y de código abierto es que, si no hay mantenedores, tienes todos los derechos y todo el código fuente, así que puedes arreglarlo tú mismo o pagarle a alguien para que lo haga
      Esta relación solo se vuelve poco saludable cuando se proyectan expectativas irreales sobre la ausencia de garantías
    • En realidad sí lo hay. Al final del texto dice que responderán si hay un contrato de soporte y que también atenderán temas de seguridad
      El punto central del texto parece ser más bien que, si necesitas soporte, compres un contrato de soporte
    • Sí lo hay
      “Todos los que tengan un contrato de soporte pagado, por supuesto, recibirán un servicio completo y adecuado también durante este período”
    • El texto dice claramente que, si tienes un contrato de soporte pagado, se mantiene la guardia como siempre
    • Aunque se preocupe por este escenario, no creo que esa persona vaya a pagar de su propio bolsillo el costo de que alguien esté de guardia

  • El sistema actual, en el que hay que seguir descubriendo vulnerabilidades, reportándolas, analizándolas, parchándolas y distribuyendo nuevas versiones a todos los usuarios una y otra vez, es claramente insostenible
    La industria necesita encontrar un sistema alternativo para tratar bugs y problemas de seguridad. En este momento, la industria prefiere hacerse la que no ve nada y convertir su propio fracaso en una oportunidad de búsqueda de rentas

    • ¿Cuál sería una mejor solución?
      ¿Y cuál sería un ejemplo de esa búsqueda de rentas en el mundo open source?
    • Creo que es cierto, y la solución es la seguridad mediante compartimentalización. Referencia: https://qubes-os.org

  • Con leer una sola frase supe de inmediato que el desarrollador era sueco

    • Para quienes no estén familiarizados: en Suecia las vacaciones de verano se toman muy en serio. Lo normal son 25–30 días al año de vacaciones + feriados, y si un empleado tiene vacaciones disponibles y quiere usarlas, permitirle 4 semanas seguidas en verano es en la práctica un requisito legal
      Referencia: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • Como noruego, pensé lo mismo. Noruega básicamente se detiene en julio
    • Yo también me reí exactamente igual. Mi empresa principal también tiene una oficina en Suecia, y sus vacaciones de verano son legendarias
      También tenemos oficina en EE. UU., y el choque cultural que reciben los estadounidenses siempre se siente nuevo cada vez que lo veo
    • Pensé de inmediato que era ese tipo. Hay muy poca gente tan hambrienta de atención como él

  • En Europa, por ejemplo en Alemania, lo normal son 20–30 días de vacaciones pagadas y licencia por enfermedad ilimitada. Si la baja dura más de 3 días, hace falta un certificado médico
    Si te enfermas durante tus vacaciones, te devuelven esos días. Si de pronto tienes que trabajar durante las vacaciones, ese tiempo no puede contar como tiempo de vacaciones. En general no te pueden despedir sin período de preaviso, así que la estabilidad laboral es alta, y aunque pierdas el empleo hay apoyo por desempleo, así que con un fondo de emergencia de unos 6 mil dólares ya estás en una situación muy estable. ¿Eso hace que la gente incompetente no sea despedida? No. Igual se les puede despedir, solo que luego tienes que tratar con eso un mes más o menos. No es un precio alto
    ¿Cómo es posible esto y quién lo subsidia? Simplemente todos aportan un pequeño porcentaje de sus ingresos para sostener el sistema. Por unos cuantos puntos porcentuales, unos cuantos dólares, prácticamente no tienes que preocuparte por pasar hambre o quedarte sin hogar
    Ustedes también podrían tener un sistema así si votan, protestan y usan la democracia para hacer la vida mejor para todos, y no peor
 
GN⁺ 4 시간 전
Comentarios de Lobste.rs

  • “Los malos no descansan”, pero aun así nosotros sí debemos descansar
    Espero que tengas unas buenas vacaciones; te las has ganado de sobra. También estaría bien que otras personas que sienten presión consideren tomarse vacaciones

  • Los malos no te van a mandar reportes de vulnerabilidades, así que no parece que quedarse de guardia vaya a cambiar algo frente a esta amenaza
    Personalmente, hasta 4 semanas de vacaciones me parecen algo pocas, aunque quizá estoy pensando de forma demasiado francesa

    • Daniel parece estar aludiendo sutilmente al concepto sueco de industrisemester
      Normalmente, en julio las fábricas en Suecia daban vacaciones a la mayoría del personal, y ese era el periodo en que se inspeccionaban, mantenían y reparaban las plantas. Incluso hoy, mucha gente intenta programar sus vacaciones anuales dentro del mes posterior al solsticio de verano, que por ley cae en sábado entre el 20 y el 26 de junio
    • Tampoco es unas vacaciones completas. Dijo que igual responderá si surge algún problema de contratos de soporte, así que en la práctica es todavía menos :-D

  • Ojalá disfrute sus vacaciones :)
    Aunque quizá no se dio cuenta de que metió la mano al avispero con la publicación donde Mythos presumía sutilmente de haber encontrado un solo bug

    • Tal vez la verdadera razón por la que el gobierno de EE. UU. bloqueó el acceso a los modelos más recientes de Anthropic era para darle vacaciones a Daniel
    • Esa analogía no termina de encajar. Daniel ya llevaba años rodeado por un enjambre, y todos estaban concentrados en acumular reputación para conseguir un prestigioso curl CVE

  • Da gusto ver algo así. Ojalá esto sirva para que otros maintainers de código abierto también prioricen su propio bienestar

  • Me gusta. Ojalá otros proyectos siguieran este enfoque