如何分享从审计中学到的经验 - Trail of Bits博客

Trail of Bits最近完成了对cURL的安全审查，这是一个卓越且无处不在的数据传输工具。我们非常高兴看到cURL创始人兼首席开发人员Daniel Stenberg撰写了关于此次合作和报告的博客文章，并希望重点强调他指出的几个重要事项。

在这篇文章中，Daniel深入探讨了cURL自2016年上次审计以来的发展：包括项目本身、代码库，以及与Trail of Bits的合作工作。他既谈到了合作体验，也讨论了最终报告。

他的博客文章提供了极好且有意义的背景信息。他给予了我们高度赞扬，同时也提出了可操作且有意义的批评，我们的团队正在考虑将这些建议用于未来改进。他还强调了一个他不同意某项发现的领域，提供了不同意的背景原因，并链接了cURL对每个审计要点的回应。

我们认为，如果软件提供商选择发布他们的安全审查报告，应该效仿Daniel的做法。这种补充阅读材料非常必要，以便软件开发人员能够为其安全决策提供更丰富的背景和更清晰的解释。这是一个工程团队如何与我们合作的绝佳范例，我们为获得的赞誉感到自豪，并意识到我们有责任认真考虑他的批评。

Daniel的文章中强调了一个未包含在最终报告中的漏洞，因为该漏洞是在审查结束后发现的（我们的工程师在审查结束后持续运行了模糊测试工具）。这个漏洞是一个释放后使用漏洞，现在被标识为CVE-2022-43552。详细信息可在cURL网站上获取，并与补丁同步发布。Trail of Bits未来将发布关于该漏洞的博客文章。

虽然这个漏洞本身并不严重，但Daniel和其他cURL维护者修复它的过程是追求卓越承诺的典范。虽然一些软件开发人员认为发现和修补漏洞类似于失败，但我们认为这是开发人员应如何处理安全问题的标志。

我们强烈推荐阅读审计报告、威胁模型以及Daniel的文章！

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容 最新文章 Trail of Bits的Buttercup在AIxCC挑战赛中获得第二名 Buttercup现已开源！ AIxCC决赛：实况记录 攻击者的提示注入工程：利用GitHub Copilot 作为新员工发现NVIDIA Triton中的内存损坏问题 © 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。