Jika Anda membuang waktu kami dengan laporan tak berguna, Anda akan diblokir dan dipermalukan di depan umum

(curl.se)

3 poin oleh GN⁺ 2026-01-23 | 3 komentar | Bagikan ke WhatsApp

Isi yang tercantum di /.well-known/security.txt milik proyek open source curl
Menerima laporan tentang masalah keamanan yang ditemukan pada produk mereka sendiri, tetapi tidak memberikan imbalan uang atau bentuk kompensasi lain untuk masalah yang dilaporkan
Sebagai gantinya, untuk masalah yang telah dikonfirmasi, mereka mencantumkan ucapan terima kasih dan pengakuan kontribusi dalam dokumentasi
Memperingatkan bahwa jika ada yang membuang waktu dengan laporan yang buruk atau tidak bermakna, mereka akan menghadapi ejekan publik dan pemblokiran
Menggunakan format standar security.txt yang merangkum inti kebijakan pelaporan keamanan secara ringkas

Kebijakan pelaporan keamanan proyek curl

Proyek open source curl menerima laporan masalah keamanan pada produk yang dibuat oleh proyek curl
- Laporan dapat dikirim melalui email (security@curl.se) atau halaman advisori keamanan GitHub
Secara jelas menyatakan tidak ada kebijakan hadiah, dan tidak menyediakan kompensasi dalam bentuk uang maupun bentuk lainnya
- Sebagai gantinya, untuk masalah yang telah dikonfirmasi, mereka memberikan ucapan terima kasih dan pengakuan kontribusi di dokumentasi terkait

Peringatan terhadap laporan yang tidak pantas

Proyek tersebut secara tegas menyatakan “jika Anda membuang waktu kami dengan laporan tak berguna, Anda akan diblokir dan dipermalukan di depan umum”
- Ini adalah peringatan keras untuk mencegah laporan yang tidak profesional atau tidak berdasar
- Menekankan kualitas laporan dan budaya pelaporan yang bertanggung jawab

Prosedur pelaporan keamanan dan informasi resmi

Sarana kontak: menyediakan email (security@curl.se) dan halaman advisori keamanan GitHub
Dokumen kebijakan: dipublikasikan di https://curl.se/dev/vuln-disclosure.html
Halaman ucapan terima kasih: dapat dilihat di https://curl.se/docs/security.html
Bahasa yang disukai: Inggris (en)
Tanggal kedaluwarsa kebijakan: tercantum sebagai 22 Oktober 2026
URL resmi: https://curl.se/.well-known/security.txt

3 komentar

slowandsnow 2026-01-24

Sepertinya solusi yang tepat adalah menutup halaman issue GitHub karena laporan issue yang diajukan sembarangan.

skageektp 2026-01-23

Sepertinya ejekan di depan publik juga bukan sesuatu yang melanggar hukum di Korea, ya wkwkwk

GN⁺ 2026-01-23

Komentar Hacker News

Baru-baru ini saya melihat kabar bahwa cURL menghapus program bug bounty karena kebanjiran laporan bug palsu buatan AI
Artikel terkait: thread Hacker News, liputan ETN
- Jika laporan, patch, dan test case-nya lengkap dengan baik, menurut saya tetap layak diberi imbalan meskipun dibuat oleh AI
Saya merasa era AI benar-benar sudah dimulai
- Ini sesuatu yang sudah diperkirakan semua orang, malah mengejutkan bahwa ledakannya baru terjadi sekarang
Saya rasa model distribusi open source sudah menjadi struktur yang tidak berkelanjutan
Awalnya gerakan free software bertujuan menjamin kebebasan pengguna untuk memperbaiki dan meningkatkan software sendiri
Namun sekarang muncul budaya yang mengharapkan issue tracker, review PR, dukungan email, sampai patch keamanan secara gratis
Hal-hal seperti ini pada dasarnya adalah pekerjaan dukungan berbayar, dan kalau bukan sekadar hobi seharusnya ada kompensasi
- Dulu saya pernah membuat generator situs statis sederhana dengan HapiJS dan mengunggahnya ke GitHub, lalu setelah menyebar di Reddit saya dibanjiri PR, bug report, dan makian
  Walaupun saya sudah menyatakan “tidak berniat memberi dukungan”, kecaman tetap berdatangan, dan itu menjadi proyek OSS pertama sekaligus terakhir saya
- Saya membayangkan sistem di mana pengguna bisa memasang imbalan kecil pada fitur yang mereka inginkan
  Jika banyak pengguna menginginkan fitur yang sama, kumpulan imbalannya membesar, lalu pengembang memilih dan mengerjakan tugas itu
  Project manager dan tester juga mendapat persentase tertentu, sehingga semua orang punya insentif
- Saya tidak setuju dengan pendapat bahwa para pendiri open source tidak pernah menginginkan model seperti ini
  Eric S. Raymond dengan “Bazaar model” dan “Linus's Law (given enough eyeballs, all bugs are shallow)” justru mengandaikan kolaborasi terbuka
- Saya menolak cara pandang yang melihat pengembang FOSS sebagai korban
  Mereka bisa menetapkan batasan dan aturan sendiri, lalu memblokir orang yang tidak sopan
- Kolaborasi melalui issue tracker publik seperti GitHub sudah menjadi budaya dasar open source selama dua generasi
Belakangan ini saya membantu proyek dokumentasi OWASP, dan mahasiswa India mengirim banyak PR dan issue aneh hasil LLM
Saya mengusulkan struktur seperti Ghostty: mulai dulu dari ‘Discussion’, lalu hanya issue yang disetujui maintainer yang boleh diubah menjadi PR
- Saya pernah melihat budaya ‘fake it till you make it’ pada developer India, di mana mereka menghindari pertanyaan dan langsung jalan terus
- Banyak mahasiswa mengirim PR berisi kode LLM demi aktivitas GitHub untuk CV, tetapi saat diminta revisi mereka sama sekali tidak paham
  Seperti kata Torvalds, berkat LLM pemeliharaan kode tampaknya akan menjadi mimpi buruk
- Jika PR tak bermakna seperti ini makin banyak, akan makin sulit menemukan issue yang benar-benar nyata
- Saya juga berpikir salah satu alasan Stack Overflow merosot adalah karena ledakan pertanyaan berkualitas rendah
Pernah suatu kali saya mengajukan bug report, lalu mendapat hujatan keras di Reddit karena informasi reproduksinya kurang
Sejak kejadian itu saya hampir berhenti total dari media sosial
- Tim curl biasanya meminta informasi tambahan dengan sopan, jadi kalau tidak memberi respons yang memadai wajar saja tiketnya ditutup
- Maintainer bersusah payah mencari bug nyata di tengah banyaknya laporan keliru
  Kita harus ingat bahwa kritik itu ditujukan pada laporannya, bukan pada orangnya
- Tim curl justru termasuk cukup toleran, dan hujatan di Reddit tidak ada hubungannya dengan komunitas resmi
- Ironisnya, bahkan reaksi di thread ini sendiri sedang membahas pengalaman yang “tidak bisa direproduksi”
Untuk mengatasi masalah kontribusi berkualitas rendah yang dihasilkan Eternal September dan LLM, saya justru merasa perlu ada friksi yang menaikkan hambatan masuk
Misalnya kontributor pertama harus mengirim laporan lewat kartu pos dengan QR code, semacam itu
- Tapi friksi seperti ini justru bisa jadi tidak efektif karena kontributor spam lebih tahan terhadapnya dibanding kontributor sungguhan
Jika sebuah proyek tenggelam dalam PR yang penuh emoji dan error, Bazaar model akan sulit lagi berfungsi
- Ini mengingatkan saya pada Brandolini’s Law
  Melimpahnya informasi yang belum diverifikasi bukan cuma masalah open source, tetapi masalah masyarakat secara umum
  Budaya kita masih belum punya sistem imun terhadap informasi palsu
Saya teringat masa ketika The Pirate Bay dulu memublikasikan email ancaman hukum dari MPAA
Jejaknya masih bisa dilihat di halaman tanggapan hukum TPB (web archive)
Cara mereka memang tidak terlalu efektif, tetapi tetap menjadi semacam simbol perlawanan
Pada proyek open source terkenal yang dipelihara teman saya, mahasiswa Tiongkok mengirim laporan kerentanan keamanan palsu sebagai tugas kuliah
Kebanyakan tidak bisa direproduksi sehingga membuang waktu maintainer
Selain itu, karena perbedaan konfigurasi tiap distro, kerentanan nyata kadang muncul dari konfigurasi paket, bukan kode upstream
Di subreddit Kryptos K4 pun banyak postingan “sudah terpecahkan!” buatan LLM, sehingga pelanggaran pertama langsung diban
Saya khawatir kecurangan tugas dengan AI sekarang sudah menyebar ke semua bidang
- Sebagai manusia kita tidak boleh kehilangan kesenangan belajar dan bertumbuh
  Sehebat apa pun AI berkembang, nilai belajar mandiri tetap tidak tergantikan
- Di Kryptos K4, walaupun LLM sudah mengetahui semua data, ia tetap tidak mampu menghasilkan ide baru
  Pada akhirnya LLM bukan alat berpikir kreatif, melainkan sekadar autocomplete yang diperkuat
- Di Tiongkok, mahasiswa kedokteran sering tidak menulis makalah sendiri dan malah mencemari jurnal akademik dengan jasa penulis bayangan
- Pada akhirnya kecurangan di dunia akademik mengalir ke pasar, dan selama ada insentif finansial, hal seperti ini tidak akan berhenti
Saya rasa akan bagus jika GitHub memberi pengguna skor kepercayaan atau sistem reputasi
- Namun GitHub sekarang berada di bawah divisi AI (Microsoft CoreAI), jadi ada kemungkinan mereka justru mendorong perilaku seperti ini
  Artikel terkait: liputan GeekWire
- Gagasan Microsoft memberi social score kepada developer terdengar mengerikan
- Menurut saya justru lebih baik membuat pengguna lebih anonim untuk mengurangi motivasi mengejar reputasi
- Platform seperti HackerOne juga punya sistem reputasi, tetapi laporan berkualitas rendah tetap membanjir
  Pada akhirnya perusahaan memakai layanan triage perantara berbayar
  Dalam proses ini, orang yang pertama merespons sering kali bukan ahli yang sebenarnya, sehingga laporan yang benar justru ditangani terlambat
  Situasi saat ini adalah struktur yang buruk bagi semua pihak dan terus memburuk