如何分享从审计中学到的经验 - Trail of Bits博客
Trail of Bits最近完成了对cURL的安全审查,这是一个卓越且无处不在的数据传输工具。我们非常高兴看到cURL创始人兼首席开发Daniel Stenberg撰写了关于此次合作和审计报告的博客文章,并希望重点强调他指出的几个重要方面。
cURL的演进与审计协作
Daniel在文章中深入探讨了cURL自2016年上次审计以来的发展:包括项目进展、代码库变化以及与Trail of Bits的合作过程。他既谈到了合作体验,也讨论了最终报告内容。
他的博文提供了极佳且有意义的背景信息。他给予我们高度赞扬,同时也提出了可操作且有建设性的批评意见,我们的团队正在考虑将这些建议纳入未来工作中。他还特别指出一个存在分歧的审计发现,解释了原因,并提供了cURL对每个审计要点的回应链接。
安全审计的最佳实践
我们相信软件提供商如果选择发布安全审计报告,应该遵循Daniel的做法。这种补充说明非常必要,能让软件开发人员为其安全决策提供更充分的背景和清晰度。这是一个工程团队如何与我们协作的完美范例,我们为获得的赞誉感到自豪,同时也认真对待仔细考虑其批评意见的责任。
漏洞处理实践
Daniel文章中强调的一个漏洞(释放后使用漏洞)未包含在最终报告中,因为该漏洞是在审计结束后发现的(我们的工程师在审计结束后持续运行了模糊测试工具)。该漏洞现被标识为CVE-2022-43552,详细信息可在cURL网站上获取,并与补丁同步发布。Trail of Bits未来将发布关于该漏洞的专门博文。
虽然这个漏洞本身并非严重级别,但Daniel和其他cURL维护者修复漏洞的过程体现了对卓越质量的承诺。尽管有些软件开发人员将发现和修补漏洞视为失败,但我们认为这恰恰展示了开发人员应如何处理安全问题的典范。
推荐阅读
延伸阅读
- 构建安全消息系统的挑战:Bitchat安全辩论的 nuanced 观点
- 使用Deptective调查依赖项
- AIxCC评分轮次正在进行中!
- 超越私钥风险的智能合约成熟度
- Go语言解析器中意想不到的安全隐患
© 2025 Trail of Bits
使用Hugo和Mainroad主题生成