curl开源项目接受安全漏洞报告,但不提供报酬,仅表示感谢和公开致谢。无效报告将导致公开谴责。可通过邮件或GitHub提交报告,漏洞披露政策及致谢详情见官网链接。该安全信息有效期至2026年10月22日。

以下是文章主要内容的重新陈述：

curl开源项目安全报告声明

curl开源项目接受针对其产品安全问题的报告。项目方明确表示：

1. 报告政策

• 不提供任何形式的金钱奖励或补偿
• 对确认的问题将在相关文档中公开致谢

2. 注意事项

• 禁止提交低质量或无效报告
• 违规者将面临公开谴责和项目参与禁令

3. 联系方式

• 主邮箱：security@curl.se
• GitHub安全通告渠道

4. 相关资源

• 漏洞披露政策文档
• 安全致谢页面（包含历史安全问题记录）

5. 基本信息

• 首选沟通语言：英语
• 本声明有效期至2026年10月22日

（注：删减了原始ASCII艺术图形和重复的规范链接信息，保留了所有实质性政策内容和联系方式）

以下是评论内容的总结：

1. 支持取消漏洞赏金计划

   • 认为AI生成的垃圾报告泛滥，取消赏金可减少低质量提交
   • 引用："cURL has been flooded with AI-generated error reports" (评论1)
   • 引用："Fair play to them... I can feel the sentiment of the slop they've had to deal with" (评论6)

2. 质疑政策执行矛盾

   • 指出官方文档仍保留漏洞赏金链接，存在不一致
   • 引用："The policy link page still has a link to the bug bounty program" (评论3)
   • 引用："Why have a code of conduct while being hostile to contributors?" (评论15)

3. 教育机构滥用问题

   • 反映学生用LLM批量提交无意义报告/PR，消耗维护者精力
   • 引用："surge of Indian students eagerly opening nonsensical issues... 100% LLMs" (评论4)
   • 引用："Chinese university encourages students to find and report vulns as coursework" (评论8)

4. 建议替代解决方案

   • 提出提交押金制、声誉系统或严格流程管控
   • 引用："refundable submission fee for bug bounties" (评论13)
   • 引用："GitHub would have the information to implement reputational score" (评论16)

5. 反对公开羞辱

   • 认为公开 ridicule 会制造毒性环境，可能适得其反
   • 引用："Public ridicule only creates a toxic environment" (评论11)
   • 引用："this is now a badge of honor... wealthy people may give you money" (评论12)

6. 历史问题延续性

   • 指出类似滥用行为在LLM前已存在（如Hacktoberfest）
   • 引用："Creating crap vuln reports has been an issue long before LLMs" (评论7)
   • 引用："Remember Hacktoberfest? Students would often abuse it" (评论7)

关键数据：
- 典型垃圾报告示例集（评论14链接）
- 维护者处理时间成本："costs him valuable time and very scarce attention" (评论8)