据 cURL 开发者 Daniel 发布的最新博客,近期 cURL 完成了一项外部安全审计,重点是关注 curl 的 HTTP/3 相关组件和源代码,特别是是在使用 ngtcp2 和 nghttp3 库相关的 curl 源代码上。
此次安全审计由主权技术基金(德国)通过 OSTIF 赞助,由负责任的审计团队 Trail ofBits 负责审计,因此开发者不需要为这次安全审计承担经济上的负担。
审计结果是没有发现任何重大安全问题,但是改进了模糊测试功能,同时安全审计也指出了一些其他方面适合改进的东西,特别是模糊测试方面。
审计过程发现开发者此前在无意中大幅度缩小了模糊测试的覆盖范围,开发者都没有注意到这事儿,审计发现后开发者立即进行了改进,好消息是至少在这段时间内 cURL 没有发生任何重大问题。
由于 cURL 使用第三方库来执行 QUIC 和 HTTP/3,审计报告中建议应对所涉及的库进行后续审计,这个开发者确实做不到了,因为这牵涉到外部的公共开源库,只能由其他公司或赞助商提供资金对开源库进行审计。
完整审计报告:https://curl.se/docs/audits.html
