Curl创始人Daniel Stenberg谈如何确保18万行C代码的安全性
💡
原文英文,约1500词,阅读约需6分钟。
📝
内容提要
在FOSDEM大会上,Curl创始人Daniel Stenberg讨论了如何确保其C代码在200亿次安装中的安全性。他表示不会将Curl重写为Rust,而是通过禁止不安全函数、严格测试和审计来维护安全。此外,Curl项目与HackerOne合作,开展漏洞奖励计划,已支付超过85,000美元用于发现和修复漏洞。Stenberg强调项目的安全承诺至关重要。
🎯
关键要点
- Curl创始人Daniel Stenberg在FOSDEM大会上讨论了确保C代码安全性的方法。
- Curl的安装量可能超过200亿次,Stenberg认为这个数字是保守估计。
- Stenberg表示不会将Curl重写为Rust,而是通过禁止不安全函数和严格测试来维护安全。
- Curl项目与HackerOne合作,开展漏洞奖励计划,已支付超过85,000美元用于发现和修复漏洞。
- 项目进行多次审计,最近一次审计未发现任何CVE,显示出安全性改善的趋势。
- 开发团队使用严格的代码风格和文档检查工具,确保代码一致性和可读性。
- 所有提交都经过人工和机器的严格审查,确保代码质量。
- 项目团队使用双因素认证来保护GitHub上的源代码。
- Stenberg强调,许多开源项目在启动时并未考虑到安全性,Curl项目在开始时也存在许多问题。
➡️
