Curl gaat opnieuw een maand stoppen met zijn bugbountyprogramma. De makers van de tool namen eerder dit jaar al tijdelijk kwetsbaarheidsrapportages aan vanwege het grote aantal AI-gegenereerde berichten. Later ging het programma in beperkte vorm weer van start. Door deze zomerstop verschijnt de nieuwe versie van curl ook pas later.
Curl-hoofdontwikkelaar Daniel Stenberg noemt het gekscherend de 'summer of bliss'. De zomerstop betekent in de praktijk dat curl tussen 1 juli en 3 augustus geen bugmeldingen meer kan en wil ontvangen. Het invulformulier op HackerOne gaat dan tijdelijk dicht. Ook checken de ontwikkelaars het e-mailadres voor beveiligingslekken niet in die periode. Stenberg zegt dat curl toch al geen bugmeldingen via e-mail behandelde.
Door de tijdelijke stop komt de volgende versie van curl ook pas later uit. Curl 8.22.0 zou in augustus verschijnen, maar dat gebeurt nu pas op 2 september.
De reden voor de zomerstop is dat curl wordt bedolven onder de bugmeldingen. Curl is een veelgebruikte tool voor de commandline, waarmee het mogelijk is om zaken zoals software te downloaden. Hoewel vrijwel alle distro's het programma gebruiken, houden slechts een handvol maintainers het bij.
Die maintainers kunnen de stroom aan bugmeldingen die geheel of gedeeltelijk met AI zijn gemaakt niet meer aan. "We hebben rust nodig. We verwachten niet dat deze stortvloed snel stopt", zegt Stenberg.
Het is niet voor het eerst dat curl stopt met het bugbountyprogramma vanwege AI-meldingen. In januari gebeurde dat al tijdelijk. Later startte curl het weer op, maar securityonderzoekers krijgen geen beloningen meer – buiten een bedankje op de wall of fame. Tweakers schreef eerder dit jaar een achtergrondartikel over hoe AI-slop de ontwikkeling van opensourcesoftware in de weg zit.
Source: Tweakers.net