Musim Panas Kebahagiaan curl

 (daniel.haxx.se)
2 poin oleh GN⁺ 4 jam lalu | 2 komentar | Bagikan ke WhatsApp
  • Proyek open source curl akan menghentikan penerimaan dan penanganan laporan kerentanan selama satu bulan penuh pada Juli 2026 untuk memberi waktu istirahat bagi para maintainer
  • Formulir pengiriman HackerOne akan dinonaktifkan mulai 1 Juli 2026 pukul 00:00 CEST, lalu dibuka kembali pada 3 Agustus 2026 pukul 09:00 CEST
  • Laporan keamanan dan kerentanan yang dikirim ke alamat email keamanan juga tidak akan diproses, dan curl pada umumnya tidak menerima laporan kerentanan melalui email
  • Akibat langkah ini, jadwal rilis 8.22.0 mundur dua minggu dan disesuaikan menjadi 2 September 2026
  • Pelanggan dengan kontrak dukungan berbayar tetap menerima layanan penuh selama periode ini, sementara pelacak issue dan pull request di GitHub tetap dibuka seperti biasa

Jadwal utama dan cakupan penerapan

  • Selama periode Musim Panas Kebahagiaan curl, proyek curl tidak akan menerima atau memproses laporan kerentanan apa pun sepanjang Juli 2026
    • Waktu mulai adalah 1 Juli 2026 pukul 00:00 CEST
    • Pengiriman dibuka kembali pada 3 Agustus 2026 pukul 09:00 CEST
  • Formulir pengiriman HackerOne akan dihentikan mulai 1 Juli 2026, dan pengiriman akan dibuka lagi pada Senin, 3 Agustus
  • Alamat email keamanan juga tidak akan menjadi jalur pemrosesan laporan keamanan dan kerentanan selama periode ini
    • Masalah yang menurut Anda perlu dilaporkan ke proyek curl pada periode ini juga harus menunggu
    • curl pada umumnya tidak menerima laporan kerentanan lewat email, dan hal ini tetap berlaku baik selama masa libur maupun setelahnya

Dampak operasional dan pengecualian

  • Liburan yang sungguhan

    • Para maintainer curl berencana memanfaatkan waktu yang lebih bebas dari tekanan untuk menikmati musim panas, lebih sering berjalan di luar, dan mengambil jeda
    • Beberapa maintainer mungkin juga akan mengunjungi tempat lain selama periode ini
    • Bisa jadi juga ada lebih banyak waktu untuk memperbaiki bug atau mengerjakan kode baru, yang dianggap sebagai pekerjaan yang menyenangkan

  • Efek samping

    • Untuk menyediakan waktu menangani issue yang mungkin menumpuk di awal Agustus, tanggal rilis 8.22.0 diundur dua minggu
    • 8.22.0 saat ini dijadwalkan rilis pada 2 September 2026

  • Peningkatan laporan kerentanan

    • Proyek curl telah berada di bawah tekanan besar selama sekitar empat bulan terakhir
    • Saat ini mereka membutuhkan istirahat, dan tidak berharap arus masuk dalam jumlah besar seperti ini akan berakhir

  • GitHub

    • Pelacak issue dan pull request curl di GitHub tetap terbuka dan aktif seperti biasa

  • Proyek open source lain

    • Proyek open source lain yang ingin ikut serta dalam Musim Panas Kebahagiaan 2026 cukup menjalankannya saja dan memberi tahu pihak curl
    • Merawat diri sendiri sebagai prioritas utama sangat dianjurkan

  • Orang jahat tidak libur

    • Orang jahat mungkin tidak beristirahat, tetapi para maintainer curl akan beristirahat

  • Situasi darurat

    • Bahkan dalam situasi darurat, para maintainer curl baru akan membacanya pada bulan Agustus
    • Jika ingin dibaca lebih cepat, diperlukan kontrak dukungan

  • Pengecualian kontrak

    • Semua orang yang memiliki kontrak dukungan berbayar tetap akan menerima layanan penuh dan layak selama periode ini

Bacaan terkait

2 komentar

 
GN⁺ 3 jam lalu
Komentar Hacker News

  • Judulnya menutupi inti persoalan. Ini adalah cara untuk mendapatkan liburan musim panas sekaligus mendorong kontrak dukungan perusahaan berbayar secara berkelanjutan
    Rasanya ini pertama kalinya saya mendengar model bisnis yang menggabungkan open source/dukungan/liburan musim panas seperti ini, dan saya suka

    • Saya suka ide ini, dan open source juga layak mencoba jadwal seperti 6 bulan dukungan publik + 6 bulan dukungan perusahaan
      Open source bisa mendapat lebih banyak pendanaan, dan perusahaan bisa memperoleh dukungan dengan biaya lebih murah daripada merekrut karyawan penuh waktu hanya karena satu open source tertentu
    • Saya kira kontrak dukungan perusahaan curl yang tidak ada itu adalah cara untuk dengan sopan menyuruh pegawai administrasi yang bodoh pergi sana: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • Ini pendekatan yang sangat tidak-Eropa. Perusahaan-perusahaan Eropa biasanya mengabaikan bahkan pelanggan berbayar dari Mei sampai Agustus

  • Ungkapan “orang jahat tidak akan berhenti, tetapi kami berhenti” memberi sentuhan kemanusiaan yang menyegarkan di zaman yang tidak manusiawi

    • Ini terasa lebih baik karena tampaknya ada solusi bila benar-benar perlu perbaikan
      Kurang lebih seperti, “jika Anda punya kontrak dukungan, kami akan membacanya lebih cepat”
    • Saya khawatir pihak jahat akan fokus mencari zero-day untuk mengeksploitasi secara bebas kerentanan yang mereka temukan selama satu bulan itu. Meski begitu, saya tidak meragukan bahwa mereka memang butuh istirahat

  • Bagi orang yang ingin benar-benar lepas dari pekerjaan saat liburan, lebih baik dibuat sampai tidak bisa bekerja sama sekali
    Tinggalkan perangkat kerja, logout dari semua akun, backup kunci 2FA ke kertas lalu singkirkan, dan jangan biarkan pasangan mengembalikannya selama liburan. Saya bahkan pernah pergi ke negara yang memang tidak mengizinkan kerja jarak jauh. Kedengarannya gila, tapi saya seserius itu. Ditulis oleh mantan workaholic

    • Salah satu alasan saya meninggalkan Amerika Utara dan pindah ke Eropa adalah karena hal seperti ini sudah dinormalisasi di sana. Perbedaan budayanya sangat besar
      Di Jerman, kalau Anda sedang liburan, ya benar-benar tidak bisa dihubungi. Anda diperlakukan seolah tidak ada di dunia sampai kembali, tidak membaca email, dan meninggalkan perangkat di kantor. Kalau sakit saat liburan, hari liburnya juga dikembalikan, karena hari libur memang untuk istirahat dan pemulihan
    • Pandangan saya agak berbeda. Sesekali membalas email saat liburan tidak masalah, asalkan perusahaan juga memandang wajar kalau saat jam kerja kita sesekali mengurus urusan pribadi; itu baru pertukaran yang adil
      Kalau perusahaan sangat ketat soal jam masuk-pulang, atau meminta cuti berbayar untuk setiap urusan pribadi 30 menit, atau pekerjaan terus-menerus melampaui 40 jam per minggu, saya juga akan berhenti mengerjakan hal “di luar jam kerja”. Tapi kalau perusahaan masuk akal, saya juga bisa bersikap masuk akal
    • Salah satu hal yang saya suka saat bekerja di bank adalah cuti penguncian. Auditor peduli pada kemampuan seorang pegawai untuk terus ikut campur, dan pegawai dengan tingkat otorisasi tertentu wajib mengambil cuti N hari berturut-turut sambil hak login mereka dinonaktifkan
      Itu alat yang sangat bagus untuk menemukan bus factor yang tersembunyi
    • Ini terlihat seperti terlalu banyak pekerjaan tambahan. Kalau bisa, cukup simpan semua urusan kerja hanya di laptop/komputer kerja, lalu tinggalkan itu di rumah atau kantor
      Tidak perlu login/logout di 20 akun
    • Perusahaan saya tanpa sengaja jadi memaksakan ini, dan hasilnya sangat bagus
      Dulu saya bisa bekerja jarak jauh dari laptop atau desktop pribadi dengan mengakses desktop kantor lewat VPN+RDC. Sekarang saya diberi laptop, tetapi autentikasi jarak jauhnya tidak berfungsi, dan perusahaan juga tidak berniat memperbaikinya karena prioritas lain. Jadi kalau saya tidak membawa laptop itu, saya memang benar-benar tidak bisa bekerja, dan karena saya sudah membawa perangkat pribadi, saya juga tidak akan membawa laptop kantor. Kalau saya tidak membawa perangkat pribadi, berarti dari awal memang bukan situasi untuk membawa laptop apa pun
      Saya tidak menganggap diri saya workaholic, tetapi saya tipe yang akan stres 24 jam sehari kalau merasa saya bisa membantu. Fakta bahwa saya benar-benar tidak bisa bekerja di luar kantor ternyata sangat membantu. Secara harfiah memang tidak ada yang bisa saya lakukan, dan terutama karena situasinya dibuat seperti itu oleh perusahaan, saya jadi tidak stres dengan cara yang sama
      [1] Selain token VPN dan perangkat MFA berupa ponsel lama, tidak ada apa pun yang terkait pekerjaan—baik Teams maupun email—yang menyentuh perangkat pribadi saya
      [2] Saya menyiapkan ponsel lama kecil yang sudah di-reset pabrik dan hanya memasang akun Google dummy serta aplikasi MFA

  • libexpat (“Expat”) dan uriparser juga mengikuti libur keamanan curl, dan mulai hari ini tidak akan menerima laporan kerentanan baru sampai 2026-08-01
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • Bagi yang menganggap ini bisa berdampak pada keamanan, curl sudah cukup matang sehingga kemungkinan bug berdampak besar pada praktiknya nyaris mendekati nol, dan sekalipun bug seperti itu ada, seseorang pasti akan menemukan cara untuk menghubungi Daniel dan timnya; yang lebih penting adalah patch masuk ke pengelola paket lalu didistribusikan
    Rilis upstream bisa menunggu

    • Itulah tepatnya intinya. Mereka memang tidak akan menerima laporan kerentanan. Mereka sedang liburan
    • Walaupun curl sendiri tidak punya kerentanan, curl tetap harus dijalankan dalam sandbox yang ketat sejak awal, karena ini adalah alat untuk mengunduh data internet arbitrer
      Hanya dengan mengunduh data arbitrer ke shell saja, Anda bisa tanpa sengaja memicu kerentanan di bagian lain lingkungan Anda

  • Saya hanya bisa bertepuk tangan untuk keputusan ini. Para maintainer proyek open source bebas hampir selalu kelebihan beban dengan kompensasi yang minim, dan sekarang LLM membuat beban pengelolaan pull request meledak lebih parah lagi
    Fakta bahwa mereka tetap memberi dukungan untuk pengguna berbayar saja sudah lebih dari cukup

  • Saya paham dengan para maintainer, tetapi pada akhirnya ini sekali lagi menunjukkan bahwa kita bergantung tanpa cadangan pada segelintir individu yang bekerja nyaris gratis
    Biasanya organisasi mengatur jadwal liburan bergantian untuk menghindari hal seperti ini. Mereka tidak punya pilihan selain melakukannya karena pelanggan menuntutnya. Di sini semua orang adalah pelanggan curl, tetapi dalam praktiknya juga tidak demikian. Menurut saya ini area abu-abu yang aneh dan tidak sehat, yang tidak baik bagi siapa pun. Bahkan fakta bahwa curl pun tidak punya kemampuan finansial untuk menempatkan orang on-call selama sebulan terasa mengejutkan dan menyedihkan

    • Hal yang menakjubkan dari perangkat lunak bebas dan open source adalah, jika tidak ada maintainer, Anda memiliki seluruh hak dan seluruh kode sumber, jadi Anda bisa memperbaikinya sendiri atau membayar seseorang untuk memperbaikinya
      Hubungan ini menjadi tidak sehat hanya ketika tanpa garansi diproyeksikan bersama ekspektasi yang tidak realistis
    • Sebenarnya ada. Di akhir tulisan disebutkan bahwa jika ada kontrak dukungan, mereka tetap merespons dan juga menangani isu keamanan
      Inti tulisannya juga tampak lebih dekat ke pesan bahwa jika Anda butuh dukungan, belilah kontrak dukungan
    • Ada
      Disebutkan, “Semua orang yang memiliki kontrak dukungan berbayar tentu saja tetap menerima layanan yang penuh dan layak selama periode ini”
    • Di tulisan itu jelas disebutkan bahwa jika ada kontrak dukungan berbayar, on-call tetap dipertahankan seperti biasa
    • Saya khawatir dengan skenario ini juga, tetapi saya rasa orang itu juga tidak akan membayar sendiri biaya agar orang tersebut standby on-call

  • Sistem saat ini, yang harus terus berulang menemukan kerentanan, melaporkannya, menganalisisnya, lalu menambalnya, dan merilis versi baru ke semua pengguna, jelas tidak berkelanjutan
    Industri perlu mencari sistem alternatif untuk menangani bug dan isu keamanan. Saat ini industri lebih memilih berpura-pura tidak tahu sambil mengubah kegagalannya sendiri menjadi peluang rent-seeking

    • Solusi yang lebih baik itu apa?
      Dan apa contoh rent-seeking yang Anda maksud dalam open source?
    • Menurut saya itu benar, dan solusinya adalah keamanan melalui kompartementalisasi. Lihat: https://qubes-os.org

  • Baru membaca satu kalimat saja saya langsung tahu developernya pasti orang Swedia

    • Untuk yang belum familiar, di Swedia liburan musim panas dianggap serius. 25–30 hari cuti per tahun + hari libur nasional adalah hal yang umum, dan jika karyawan memiliki cuti yang bisa mereka minta dan gunakan, maka mengizinkan 4 minggu libur musim panas berturut-turut pada praktiknya nyaris diwajibkan oleh hukum
      Referensi: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • Sebagai orang Norwegia, saya juga langsung terpikir hal yang sama. Norwegia pada dasarnya berhenti di bulan Juli
    • Saya juga tertawa persis sama. Perusahaan utama tempat saya bekerja juga punya kantor di Swedia, dan liburan musim panas mereka itu legendaris
      Kami juga punya kantor di AS, dan kejutan budaya yang dialami orang Amerika selalu terasa baru setiap kali dilihat
    • Saya juga langsung tahu itu dia. Hampir tidak ada orang lain yang tingkat haus perhatiannya mirip dengannya

  • Di Eropa, misalnya di Jerman, 20–30 hari cuti berbayar dan cuti sakit tanpa batas adalah hal yang normal. Jika cuti sakit lebih dari 3 hari, diperlukan surat keterangan dokter
    Jika sakit saat sedang liburan, hari cuti itu dikembalikan. Jika tiba-tiba harus bekerja saat liburan, waktu itu tidak bisa dihitung sebagai waktu libur. Umumnya Anda tidak bisa dipecat tanpa masa pemberitahuan, jadi stabilitas kerja tinggi, dan bahkan jika kehilangan pekerjaan pun ada tunjangan pengangguran, sehingga dengan dana darurat sekitar 6 ribu dolar saja hidup sudah sangat stabil. Apakah akibatnya orang yang tidak kompeten jadi tidak bisa dipecat? Tidak juga. Mereka tetap bisa dipecat, hanya saja Anda harus berurusan dengan mereka sekitar sebulan lagi setelah itu. Itu bukan harga yang besar
    Bagaimana ini bisa terjadi dan siapa yang mensubsidinya? Semua orang cukup menyumbang beberapa persen dari penghasilannya untuk menopang sistem ini. Dengan beberapa persen, beberapa dolar, Anda pada dasarnya tidak perlu khawatir akan kelaparan atau menjadi tunawisma
    Kalian juga bisa punya sistem seperti ini kalau kalian memilih, berdemonstrasi, dan menggunakan demokrasi untuk membuat hidup semua orang jadi lebih baik, bukan lebih buruk
 
GN⁺ 4 jam lalu
Opini Lobste.rs

  • “Orang jahat tidak pernah istirahat”, tapi kita tetap perlu istirahat
    Semoga liburannya menyenangkan, dan itu memang sangat pantas didapatkan. Orang lain yang merasa tertekan juga sebaiknya mempertimbangkan untuk libur

  • Orang jahat juga tidak akan mengirimkan laporan kerentanan, jadi rasanya ancaman ini tidak akan berubah hanya karena tetap siaga
    Secara pribadi aku juga merasa libur 4 minggu agak singkat, tapi mungkin aku berpikir terlalu ala Prancis

    • Daniel tampaknya secara halus merujuk pada konsep industrisemester di Swedia
      Biasanya pada bulan Juli pabrik-pabrik produksi di Swedia memberi libur kepada sebagian besar karyawannya, dan selama itu pabrik diperiksa, dirawat, dan diperbaiki. Sampai sekarang pun banyak orang mencoba menjadwalkan cuti tahunan mereka dalam sebulan setelah titik balik matahari musim panas, dan secara hukum hari itu jatuh pada hari Sabtu antara 20–26 Juni
    • Ini juga bukan liburan sepenuhnya. Dia bilang masih akan merespons jika ada masalah kontrak dukungan, jadi pada praktiknya malah lebih singkat :-D

  • Semoga liburannya menyenangkan :)
    Hanya saja, mungkin dia belum sadar bahwa dia sudah mengusik sarang lebah lewat tulisan yang secara halus membanggakan bahwa Mythos hanya menemukan satu bug

    • Mungkin alasan sebenarnya pemerintah AS memblokir akses ke model Anthropic terbaru adalah supaya Daniel bisa liburan
    • Perumpamaan itu rasanya kurang pas. Daniel sudah dikelilingi kawanan lebah selama bertahun-tahun, dan semua orang sibuk membangun reputasi demi mendapatkan curl CVE yang berwibawa

  • Senang melihat hal seperti ini. Semoga ini jadi pemicu bagi maintainer open source lain untuk menempatkan kesejahteraan mereka sebagai prioritas

  • Suka. Semoga proyek-proyek lain juga mengikuti cara seperti ini