Contexto

cURL, originalmente lançado sob os nomes httpget e posteriormente urlget, tornou-se uma utilidade essencial para administradores, pesquisadores, profissionais de segurança e muitos outros usuários. Ele está embutido em instalações padrão do Windows, macOS e na maioria das distribuições Linux, tornando sua segurança uma prioridade alta para uma ampla audiência.

Programa de Recompensa por Bugs

Por anos, o projeto cURL dependeu de relatórios de bugs privados de pesquisadores externos para identificar e corrigir vulnerabilidades de segurança. Para incentivar submissões de alta qualidade, o projeto ofereceu recompensas em dinheiro por relatórios de falhas graves. Esse incentivo ajudou a manter a confiabilidade e segurança da ferramenta.

Mudança na Qualidade das Submissões

Os meses recentes viram um aumento dramático no número de relatórios de vulnerabilidades submetidos ao projeto. Uma grande parte dessas submissões é de baixa qualidade e parece ser gerada por ferramentas de IA automatizadas, frequentemente referidas como "lixo de IA". O volume e a baixa qualidade desses relatórios colocaram uma pesada carga sobre o pequeno grupo de mantenedores ativos.

Decisão de Encerrar o Programa

Daniel Stenberg, o fundador e principal desenvolvedor, explicou que o projeto é um pequeno esforço de código aberto com uma única manutenção e capacidade limitada para gerenciar a onda de submissões. Ele afirmou: "Somos apenas um pequeno projeto de código aberto com um número pequeno de mantenedores ativos", enfatizando que a equipe não pode controlar como os contribuintes externos geram relatórios. Para proteger o bem-estar da equipe, Stenberg anunciou que o programa de recompensa por bugs será descontinuado ao final do mês.

Em uma comunicação separada, Stenberg advertiu que relatórios repetidos de baixo esforço resultariam em banimentos e ridicularização pública, sublinhando a frustração sentida pelos mantenedores.

Reação da Comunidade

Alguns usuários do cURL expressaram preocupação de que o término do programa de recompensa possa enfraquecer a postura de segurança da ferramenta, argumentando que o programa abordou sintomas em vez da causa subjacente do influxo. Enquanto reconhece essas preocupações, Stenberg indicou que os mantenedores têm pouca escolha diante das circunstâncias atuais.

Implicações

O término do programa de recompensa por bugs destaca os desafios enfrentados por projetos de código aberto quando confrontados com grandes volumes de contribuições de baixa qualidade geradas por IA. Isso também levanta questões sobre como esses projetos podem sustentar testes de segurança e descoberta de vulnerabilidades sem incentivos externos.

Usado: News Factory APP - descoberta e automação de notícias - ChatGPT para Empresas