Sizi işe yaramaz raporlarla zaman kaybettirirseniz, sizi banlar ve alenen alay ederiz

(curl.se)

3 puan yazan GN⁺ 2026-01-23 | 3 yorum | WhatsApp'ta paylaş

curl açık kaynak projesinin /.well-known/security.txt dosyasında yer alan içerik
Kendi ürünlerinde bulunan güvenlik sorunlarına ilişkin raporları kabul eder, ancak bildirilen sorunlar için parasal ödül veya ödül niteliğinde bir karşılık sunmaz
Bunun yerine, doğrulanan sorunlar için dokümanlarda teşekkür ve katkı atfı belirtir
Özensiz veya anlamsız raporlarla zaman kaybettirilmesi durumunda, alenen alay etme ve engelleme uyarısında bulunur
Güvenlik bildirim politikasının ana noktalarını kısa biçimde özetleyen security.txt standart formatını kullanır

curl projesinin güvenlik bildirim politikası

curl açık kaynak projesi, curl projesi tarafından geliştirilen ürünlerdeki güvenlik sorunlarına dair bildirimleri kabul eder
- Bildirimler e-posta (security@curl.se) veya GitHub güvenlik advisories sayfası üzerinden iletilebilir
Ödül politikası olmadığını açıkça belirtir; parasal ya da başka türde bir ödül sunulmaz
- Bunun yerine, doğrulanan sorunlar için ilgili dokümanlarda teşekkür ve katkı atfı sağlar

Uygunsuz raporlara yönelik uyarı

Proje, “İşe yaramaz raporlarla zamanımızı kaybettirirseniz sizi yasaklar ve alenen alay ederiz” ifadesini açıkça kullanır
- Bu, profesyonel olmayan veya temelsiz bildirimleri önlemeye yönelik güçlü bir uyarı dilidir
- Rapor kalitesini ve sorumlu bildirim kültürünü vurgular

Güvenlik bildirim süreci ve resmî bilgiler

İletişim kanalları: e-posta (security@curl.se) ve GitHub güvenlik advisories sayfası
Politika belgesi: https://curl.se/dev/vuln-disclosure.html adresinde yayımlanır
Teşekkür sayfası: https://curl.se/docs/security.html adresinden görülebilir
Tercih edilen dil: İngilizce (en)
Politika bitiş tarihi: 22 Ekim 2026 olarak belirtilmiş
Resmî URL: https://curl.se/.well-known/security.txt

3 yorum

slowandsnow 2026-01-24

Düşüncesizce açılan issue’lar yüzünden GitHub issue sayfasını kapatmak tek çözüm gibi görünüyor

skageektp 2026-01-23

Kamusal olarak alay etmek Kore hukukuna göre yasa dışı olabilir diye düşünüyorum hahaha

GN⁺ 2026-01-23

Hacker News görüşleri

Kısa süre önce, cURL'ün yapay zeka tarafından üretilen sahte hata raporlarıyla dolup taşması üzerine bug bounty programını kaldırdığını gördüm
İlgili yazılar: Hacker News başlığı, ETN haberi
- Rapor, yama ve test case gerçekten düzgün hazırlanmışsa, yapay zeka üretmiş olsa bile ödüllendirilmeye değer olduğunu düşünüyorum
Yapay zeka çağının gerçekten başladığını hissediyorum
- Bunun olacağını herkes bekliyordu; asıl şaşırtıcı olan bu kadar geç patlamış olması
Açık kaynak dağıtım modelinin sürdürülemez bir yapı haline geldiğini düşünüyorum
Özgür yazılım hareketi başlangıçta kullanıcıların yazılımı kendilerinin düzeltip iyileştirme özgürlüğünü garanti etmeyi amaçlıyordu
Ama şimdi issue tracker, PR incelemesi, e-posta desteği ve güvenlik yamalarının bile ücretsiz beklenmesi gibi bir kültür oluştu
Bunlar fiilen ücretli destek işleri ve hobi değilse karşılığında ödeme gerektirir
- Eskiden HapiJS ile basit bir statik site oluşturucu yapıp GitHub'a koymuştum; Reddit'te yayılınca PR, hata raporu ve hakaret yağmaya başladı
  “Destek verme niyetim yok” dememe rağmen eleştiriler sürdü; o da benim ilk ve son OSS projem oldu
- Kullanıcıların istedikleri özelliklere küçük ödüller koyabildiği bir sistem hayal ediyorum
  Birden fazla kullanıcı aynı özelliği isterse ödül havuzu büyür, geliştirici de o işi seçip yapar
  Proje yöneticisi ve testçiler de belli bir pay alır; herkesin motive olduğu bir yapı olur
- Açık kaynağın kurucularının böyle bir modeli amaçlamadığını söyleyenlere katılmıyorum
  Eric S. Raymond'ın “Bazaar modeli” ve “Linus yasası (yeterince göz varsa bütün hatalar sığdır)” tam da açık işbirliğini varsayar
- FOSS geliştiricilerini mağdur olarak gören bakışa katılmıyorum
  İnsanlar kendi sınırlarını ve kurallarını koyabilir, kaba davrananları da engelleyebilir
- GitHub gibi herkese açık issue tracker'lar üzerinden yürüyen işbirliği, iki kuşaktır açık kaynağın temel kültürü haline gelmiş durumda
Son zamanlarda OWASP dokümantasyon projesine yardım ediyorum; Hindistanlı öğrenciler LLM ile üretilmiş alakasız PR ve issue'ları toplu halde açıyor
Ghostty'deki gibi önce “Discussion” ile başlayıp, yalnızca bakımcı onay verdiğinde issue'nun PR'a dönüştüğü bir yapı gerektiğini öneriyorum
- Hintli geliştiricilerin sorulardan kaçınıp doğrudan ilerlediği bir 'fake it till you make it' kültürü gördüm
- Birçok öğrenci özgeçmiş için GitHub aktivitesi üretmek amacıyla LLM koduyla PR gönderiyor; düzeltme istendiğinde ise hiçbir şey anlamıyorlar
  Torvalds'ın dediği gibi, LLM'ler yüzünden kod bakımı kabusa dönecek gibi görünüyor
- Bu tür anlamsız PR'lar artınca, gerçek issue'ları bulmak zorlaşıyor
- Stack Overflow'un düşüş nedenlerinden birinin de düşük kaliteli soru patlaması olduğunu düşünüyorum
Bir keresinde hata raporu açtım ama yeniden üretim bilgisi yetersiz diye Reddit'te ağır biçimde linç edildim
O olaydan sonra sosyal medyayı neredeyse tamamen bıraktım
- curl ekibi genelde ek bilgi isterken kibar davranır; düzgün yanıt vermediysen kapatmaları normaldir
- Bakımcılar sayısız hatalı raporun arasında gerçek bug'ı bulmaya çalışırken çok zorlanıyor
  Eleştirinin kişiye değil, rapora yönelik olduğunu akılda tutmak gerekir
- curl ekibi aslında oldukça hoşgörülü; Reddit'teki saldırılar ise resmi toplulukla ilgisiz
- İronik biçimde, bu başlıktaki tepkiler bile şu anda “yeniden üretilemeyen” bir deneyimi tartışıyor
Eternal September ve LLM'lerin yarattığı düşük kaliteli katkı sorununu çözmek için, belki de giriş bariyerini yükselten bir sürtünmeye (friction) ihtiyaç var diye düşünüyorum
Mesela ilk katkıyı yapmak isteyenlerin QR kodlu bir kartpostalla rapor göndermesi gibi
- Ama bu tür sürtünmeler bazen gerçek katkıcılardan çok spam katkıcıları tarafından daha iyi tolere edilir, dolayısıyla etkisiz de kalabilir
Projeler emoji ve hatalarla dolu PR'lar içinde debelenmeye başlayınca, artık Bazaar modelinin işlemesi zorlaşıyor
- Bu bana Brandolini’s Law'ı hatırlatıyor
  Doğrulanmamış bilginin taşması yalnızca açık kaynağın değil, toplumun genel bir sorunu
  Kültür henüz sahte bilgiye karşı bağışıklık sistemi geliştirebilmiş değil
Eskiden The Pirate Bay'in MPAA'dan gelen hukuki tehdit e-postalarını yayımladığı günleri hatırladım
TPB'nin hukuki yanıt sayfasında (web archive) bunun izlerini görmek mümkün
Yöntemleri çok etkili değildi ama bir tür direniş sembolü olarak kaldı
Bir arkadaşımın bakımını yaptığı popüler bir açık kaynak projeye Çinli üniversite öğrencileri sahte güvenlik açığı raporları ödev diye gönderiyor
Çoğu yeniden üretilemiyor ve bakımcıların zamanını boşa harcıyor
Ayrıca dağıtıma göre değişen ayarlar yüzünden gerçek açıklar bazen upstream kodda değil, paket yapılandırmasında ortaya çıkabiliyor
Kryptos K4 subreddit'inde de LLM'in ürettiği “çözdüm!” gönderileri dolup taşıyor; ilk ihlalde doğrudan ban veriliyor
Yapay zeka destekli akademik sahtekarlığın artık her alana yayılmış olması endişe verici
- İnsan olarak öğrenmenin ve gelişmenin keyfini kaybetmemeliyiz
  Yapay zeka ne kadar ilerlerse ilerlesin, kendi kendine öğrenmenin değeri ikame edilemez
- Kryptos K4 örneğinde LLM tüm verileri biliyor olsa da tek bir yeni fikir bile üretemiyor
  Sonuçta LLM yaratıcı düşünce değil, güçlendirilmiş bir otomatik tamamlama aracı sadece
- Çin'de tıp öğrencilerinin makaleleri kendileri yazmak yerine hayalet yazarlıkla akademik dergileri kirletmesi yaygın
- Sonunda akademideki sahtekarlık piyasaya taşınıyor ve maddi teşvikler olduğu sürece bu bitmeyecek
GitHub'ın kullanıcılara bir güven puanı ya da itibar sistemi vermesinin iyi olacağını düşünüyorum
- Ama GitHub artık AI departmanına (Microsoft CoreAI) bağlı olduğu için, böyle davranışları engellemek yerine teşvik etmesi daha olası
  İlgili haber: GeekWire haberi
- Microsoft'un geliştiricilere sosyal puan vermesi korkunç bir fikir olur
- Hatta kullanıcıları anonimleştirip itibar peşinde koşma motivasyonunu azaltmak daha iyi olabilir
- HackerOne gibi platformlarda da itibar sistemi var ama düşük kaliteli raporlar yine de taşıyor
  Sonunda şirketler ara inceleme (triage) hizmetini ücretli almak zorunda kalıyor
  Bu süreçte ilk yanıtı bazen gerçek uzman olmayan biri verdiği için, gerçek raporlar daha geç işleniyor
  Mevcut durum herkes için kötü bir yapı ve giderek daha da kötüleşiyor