cURL 作者保证不会加入漏洞或后门 - 开源中国社区
Float_left Icon_close
cURL 作者保证不会加入漏洞或后门
两味真火 2017年09月14日

cURL 作者保证不会加入漏洞或后门

两味真火 两味真火 发布于2017年09月14日 收藏 6

Daniel Stenberg 开发的 cURL 是一个用于文件传输的开源库和命令行工具,被广泛应用于各种计算平台。想象一下,这样一个广泛使用的工具如果被加入后门?

Stenberg 称他被经常被问到这个问题,他表示从未观察到蓄意试着加入漏洞或后门的情况,有补丁会在几年后发现引入了安全问题,但不存在蓄意之说。当然他的话你可以不相信,但 cURL 是一个开源软件,如果你不相信可以检查你下载的代码,或从已经检查过代码的可信来源获得代码。Stenberg 称每一个正式版本他都用 GPG 签名,即便提供下载的服务器遭到了入侵,攻击者也不可能复制签名。风险在于用户从非官方来源下载了已预先构建好的 cURL。他个人保证 cURL 没有后门,他是瑞典人,住在瑞典,美国的机构没有合法权力强迫他加入后门,而瑞典的类似机构也没有合法权力施压他加入后门。cURL 项目诞生近二十年来只发现约 70 个安全漏洞,大部分都是编程错误引发的,他确定这些问题都不是有意引入的。

稿源:solidot

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:cURL 作者保证不会加入漏洞或后门
分享
评论(14)
精彩评论
14
cURL作者(瑞典人)是Mozilla的员工,前段时间要去美国参加Mozilla的一个活动,结果在机场被被拒绝入境美国
https://news.cnblogs.com/n/572585/
果然是cURL作者拒绝了美国强迫他加入后门的要求.

美利坚,人类希望.
6
后门不需要蓄意加入,只要装作没看见就可以了。
5

引用来自“山雨欲来”的评论

瑞典是个开源软件的温床啊
有钱、很闲
2
瑞典是个开源软件的温床啊
最新评论
0

引用来自“山雨欲来”的评论

瑞典是个开源软件的温床啊
还开源了什么?诺贝尔奖?那个开源对我没用。
0

引用来自“eechen”的评论

cURL作者(瑞典人)是Mozilla的员工,前段时间要去美国参加Mozilla的一个活动,结果在机场被被拒绝入境美国
https://news.cnblogs.com/n/572585/
果然是cURL作者拒绝了美国强迫他加入后门的要求.

美利坚,人类希望.
我靠,那我还买了一个美国的网络类库,而且还是没有源代码的,那样岂不是风险很大??
0
搞技术的还没这点悟性,还在用封闭代码的私有系统,是不是选择性失明,在自己欺骗自己?
0
我用得正爽,千万不要有后门
0

引用来自“山雨欲来”的评论

瑞典是个开源软件的温床啊

引用来自“添加软件”的评论

有钱、很闲
国家人少就是爽。地多人少,好管理。
0
其他开发者加入呢?
0
xshell的锅
0
curl有个bug:设定参数可以 断线续下,虽然可以不指明具体开始位置即在已有文件的末尾开始续,但是如果是自动重试,它只会 总是在 刚刚运行时的文件的末尾位置开始续,而不管当前已经是第n次续,文件已经大了很多
0

引用来自“久永”的评论

后门不需要蓄意加入,只要装作没看见就可以了。
怪不然wintel的后门从来都是,只见人爆料,不见人修复
6
后门不需要蓄意加入,只要装作没看见就可以了。
14
cURL作者(瑞典人)是Mozilla的员工,前段时间要去美国参加Mozilla的一个活动,结果在机场被被拒绝入境美国
https://news.cnblogs.com/n/572585/
果然是cURL作者拒绝了美国强迫他加入后门的要求.

美利坚,人类希望.
5

引用来自“山雨欲来”的评论

瑞典是个开源软件的温床啊
有钱、很闲
2
瑞典是个开源软件的温床啊
0
我的yurunhttp就是基于curl。。。还是别有后门吧
顶部