如何分享从我们的审计中学到的内容 - Trail of Bits 博客

Trail of Bits 最近完成了对 cURL 的安全审查，cURL 是一个卓越且无处不在的数据传输工具。我们非常高兴地看到 cURL 的创始人兼首席开发人员 Daniel Stenberg 撰写了一篇关于此次合作和报告的博客文章，并希望强调他指出的几个重要事项。

在这篇文章中，Daniel 深入探讨了 cURL 自 2016 年上次审计以来的发展：项目本身、代码库，以及与 Trail of Bits 的合作。他谈到了合作体验和最终报告。

他的博客文章提供了极好且有意义的背景。他给予我们高度赞扬，同时也提出了可操作且有意义的批评，我们的团队正在考虑这些建议以用于未来。他还强调了一个他不同意某个发现的地方，提供了不同意的背景原因，并链接了 cURL 对每个审计点的回应。

我们认为，如果软件提供商选择发布他们的安全评审，应该效仿 Daniel 的做法。这种补充阅读非常必要，以便软件开发人员能够为其安全决策提供更丰富的背景和清晰度。这是一个工程团队如何与我们合作的绝佳范例，我们为这些赞扬感到非常自豪，并意识到我们有责任认真考虑他的批评。

Daniel 的文章中强调了一个未包含在最终报告中的漏洞，因为该漏洞是在审查结束后发现的（我们的工程师在审查结束后继续运行了一个模糊测试器）。该漏洞是一个释放后使用（use-after-free）漏洞，现在被称为 CVE-2022-43552。详细信息可在 cURL 的网站上找到，并与补丁同步发布。Trail of Bits 将来会有一篇关于该漏洞的博客文章。

虽然该漏洞本身并不严重，但 Daniel 和其他 cURL 维护者修复它的过程是追求卓越承诺的一个很好的例子。虽然一些软件开发人员认为发现和修补漏洞类似于失败，但我们认为这是开发人员应如何处理安全问题的标志。

我们强烈建议阅读审计报告、威胁模型和 Daniel 的文章！

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容 最近的帖子 非传统创新者奖学金 在您的 PajaMAS 中劫持多代理系统 我们构建了 MCP 一直需要的安全层 在废弃硬件中利用零日漏洞 Inside EthCC[8]：成为智能合约审计员 © 2025 Trail of Bits. 使用 Hugo 和 Mainroad 主题生成。