cURL完成HTTP/3相關(guān)的安全審計(jì) 盡管出現(xiàn)一些小失誤但沒(méi)什么問(wèn)題

據(jù) cURL 開(kāi)發(fā)者 Daniel 發(fā)布的最新博客，近期 cURL 完成了一項(xiàng)外部安全審計(jì)，重點(diǎn)是關(guān)注 curl 的 HTTP/3 相關(guān)組件和源代碼，特別是是在使用 ngtcp2 和 nghttp3 庫(kù)相關(guān)的 curl 源代碼上。

此次安全審計(jì)由主權(quán)技術(shù)基金(德國(guó))通過(guò) OSTIF 贊助，由負(fù)責(zé)任的審計(jì)團(tuán)隊(duì) Trail ofBits 負(fù)責(zé)審計(jì)，因此開(kāi)發(fā)者不需要為這次安全審計(jì)承擔(dān)經(jīng)濟(jì)上的負(fù)擔(dān)。

審計(jì)結(jié)果是沒(méi)有發(fā)現(xiàn)任何重大安全問(wèn)題，但是改進(jìn)了模糊測(cè)試功能，同時(shí)安全審計(jì)也指出了一些其他方面適合改進(jìn)的東西，特別是模糊測(cè)試方面。

審計(jì)過(guò)程發(fā)現(xiàn)開(kāi)發(fā)者此前在無(wú)意中大幅度縮小了模糊測(cè)試的覆蓋范圍，開(kāi)發(fā)者都沒(méi)有注意到這事兒，審計(jì)發(fā)現(xiàn)后開(kāi)發(fā)者立即進(jìn)行了改進(jìn)，好消息是至少在這段時(shí)間內(nèi) cURL 沒(méi)有發(fā)生任何重大問(wèn)題。

由于 cURL 使用第三方庫(kù)來(lái)執(zhí)行 QUIC 和 HTTP/3，審計(jì)報(bào)告中建議應(yīng)對(duì)所涉及的庫(kù)進(jìn)行后續(xù)審計(jì)，這個(gè)開(kāi)發(fā)者確實(shí)做不到了，因?yàn)檫@牽涉到外部的公共開(kāi)源庫(kù)，只能由其他公司或贊助商提供資金對(duì)開(kāi)源庫(kù)進(jìn)行審計(jì)。

完整審計(jì)報(bào)告：https://curl.se/docs/audits.html