curl Mutluluğun Yazı

 (daniel.haxx.se)
2 puan yazan GN⁺ 4 시간 전 | 2 yorum | WhatsApp'ta paylaş
  • Açık kaynak curl projesi, bakımcıların dinlenme zamanı kazanabilmesi için 2026 Temmuz ayı boyunca güvenlik açığı bildirimlerini kabul etmeyi ve işlemeyi durduruyor
  • HackerOne gönderim formu 1 Temmuz 2026 00:00 CEST itibarıyla kapatılacak ve 3 Ağustos 2026 09:00 CEST'te yeniden açılacak
  • Güvenlik e-posta adresine gönderilen güvenlik ve güvenlik açığı bildirimleri de işleme alınmayacak; ayrıca curl normalde e-posta yoluyla güvenlik açığı bildirimi kabul etmiyor
  • Bu önlem nedeniyle 8.22.0 sürüm takvimi 2 hafta ertelenerek 2 Eylül 2026 olarak güncellendi
  • Ücretli destek sözleşmesi olan kullanıcılar bu dönemde de tam hizmet almaya devam edecek; GitHub'daki issue ve pull request takipçileri ise her zamanki gibi açık kalacak

Temel takvim ve kapsam

  • curl Mutluluğun Yazı döneminde curl projesi, 2026 Temmuz ayı boyunca hiçbir güvenlik açığı bildirimini kabul etmeyecek veya işlemeyecek
    • Başlangıç zamanı 1 Temmuz 2026 00:00 CEST
    • Bildirimlerin yeniden kabul edilmeye başlanacağı zaman 3 Ağustos 2026 09:00 CEST
  • HackerOne gönderim formu 1 Temmuz 2026'dan itibaren kapatılacak ve 3 Ağustos Pazartesi günü yeniden gönderime açılacak
  • Güvenlik e-posta adresi de bu dönemde güvenlik ve güvenlik açığı bildirimleri için bir işlem kanalı olmayacak
    • Bu dönemde curl projesine bildirilmesi gerektiği düşünülen sorunlar da beklemek zorunda
    • curl normalde e-posta ile güvenlik açığı bildirimi kabul etmiyor ve bu durum hem tatil döneminde hem sonrasında geçerli olmaya devam edecek

Operasyonel etki ve istisnalar

  • Gerçek tatil

    • curl bakımcıları, üzerlerindeki baskının azaldığı bu zamanı yazın tadını çıkarmak, dışarıda daha fazla yürümek ve nefes almak için kullanmayı planlıyor
    • Bazı bakımcılar bu dönemde başka yerler de görebilir
    • Hata düzeltmeleri veya yeni kod çalışmaları için fazladan zaman da ortaya çıkabilir; bu da eğlenceli işler olarak görülüyor

  • Yan etkiler

    • Ağustos başında birikmiş olabilecek konuları ele alacak zaman yaratmak için 8.22.0 sürümü tarihi 2 hafta ertelendi
    • 8.22.0 sürümünün şu anki planlanan çıkış tarihi 2 Eylül 2026

  • Güvenlik açığı bildirimlerindeki artış

    • curl projesi son yaklaşık 4 aydır büyük bir baskı altında
    • Şu anda dinlenmeye ihtiyaç duyuyor ve bu yoğun akışın sona ereceğini de beklemiyor

  • GitHub

    • curl'ün GitHub üzerindeki issue ve pull request takipçileri her zamanki gibi açık ve aktif kalacak

  • Diğer açık kaynak projeleri

    • Diğer açık kaynak projeleri de 2026 Mutluluğun Yazı'na katılmak istiyorsa bunu doğrudan uygulayıp curl ekibine bildirebilir
    • Kişinin önce kendine öncelik vermesi tavsiye ediliyor

  • Kötü niyetli kişiler dinlenmez

    • Kötü niyetli kişiler durmayabilir, ancak curl bakımcıları dinlenecek

  • Acil durumlar

    • Acil bir durum olsa bile curl bakımcıları bunu Ağustos'ta okuyacak
    • Daha erken okunması için destek sözleşmesi gerekiyor

  • Sözleşme istisnası

    • Ücretli destek sözleşmesi olan herkes bu dönemde de eksiksiz ve uygun hizmet almaya devam edecek

İlgili okumalar

2 yorum

 
GN⁺ 3 시간 전
Hacker News görüşleri

  • Başlık asıl noktayı gölgeledi. Bu, hem yaz tatilini teşvik eden hem de sürekli destek almayı sağlayan kurumsal destek sözleşmelerini özendiren bir yöntem
    Açık kaynak/destek/yaz tatilini böyle birleştiren bir iş modelini ilk kez duyuyorum sanırım ve hoşuma gitti

    • Bu fikir hoşuma gitti; açık kaynak da 6 ay herkese açık destek + 6 ay kurumsal destek gibi bir takvim uygulayabilir
      Açık kaynak daha fazla fon bulur, şirketler de belirli bir açık kaynak için tam zamanlı çalışan almak yerine daha ucuza destek alabilir
    • curl’ün var olmayan kurumsal destek sözleşmesinin, aptal evrak görevlilerine kibarca defolup gitmelerini söylemenin bir yolu olduğunu sanmıştım: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
    • Bu son derece Avrupa dışı bir yaklaşım. Avrupa şirketleri genelde Mayıs’tan Ağustos’a kadar ücretli müşterileri bile görmezden gelir

  • “Kötü adamlar durmayacak ama biz duracağız” sözü, insanlıktan uzak bir çağda hoş bir insanilik hissi veriyor

    • Gerçekten düzeltme gerekiyorsa bir çözüm var gibi durduğu için daha da güzel
      Yani “bir destek sözleşmesi yaparsanız daha erken okuruz” gibi
    • Kötü taraftakilerin o bir ay boyunca buldukları açıkları serbestçe istismar etmek için zero-day aramaya odaklanmasından endişe ediyorum. Yine de onların dinlenmeye ihtiyacı olduğundan şüphem yok

  • Tatilde işten tamamen kopmak isteyenler için, en iyisi kendini baştan çalışamaz hale getirmek
    İş cihazlarını bırakıp gitmek, tüm hesaplardan çıkış yapmak, iki faktörlü kimlik doğrulama anahtarlarını kağıda yedekleyip ortadan kaldırmak ve tatil boyunca partnerinin onları geri vermemesini sağlamak gibi. Hatta uzaktan çalışmanın yasak olduğu bir ülkeye gittiğim bile oldu. Kulağa çılgınca geliyor ama o kadar ciddiydi. Bunu eski bir işkolik yazıyor

    • Kuzey Amerika’dan ayrılıp Avrupa’ya gitme nedenlerimden biri bunun orada normalleşmiş olması. Kültür farkı muazzam
      Almanya’da tatildeysen gerçekten ulaşılamazsın. Dönene kadar dünyada yokmuşsun gibi davranılır; e-postalara bakmazsın ve cihazlarını da ofiste bırakırsın. Ayrıca tatilde hastalanırsan tatil günlerin geri verilir, çünkü tatil günleri dinlenmek ve iyileşmek içindir
    • Ben biraz farklı bakıyorum. Tatilde ara sıra e-postaya yanıt vermek sorun değil; karşılığında şirketin de çalışma saatlerinde ara sıra kişisel iş halletmene ses çıkarmaması gerekir, o zaman adil olur
      Şirket geliş gidiş saatlerini katı biçimde takip ediyorsa, her 30 dakikalık kişisel iş için ücretli izin kullanmanı istiyorsa ya da iş tekrar tekrar haftada 40 saati aşıyorsa, ben de “çalışma dışı” işleri yapmayı bırakırım. Ama şirket makulse ben de makul davranabilirim
    • Bankada çalışırken sevdiğim şeylerden biri zorunlu izindi. Denetçiler, bir çalışanın sürekli devrede kalabilme kapasitesine önem verirdi; belirli yetkilerin üzerindeki çalışanlar, giriş yetkileri devre dışı bırakılmış halde art arda N gün izin yapmak zorundaydı
      Gizli bus factor sorunlarını ortaya çıkarmak için harika bir araçtı
    • Bu bana fazla ek iş gibi geliyor. Mümkünse işle ilgili her şeyi sadece iş dizüstü/masaüstünde tutarsın; sonra onu evde ya da ofiste bırakırsın, olur biter
      20 hesapta giriş/çıkış yapmana gerek kalmaz
    • Şirket yanlışlıkla bunu zorunlu hale getirdi ve bu harika oldu
      Eskiden kendi dizüstümden ya da masaüstümden VPN+RDC ile ofisteki masaüstüme bağlanıp uzaktan çalışabiliyordum. Şimdi bana bir dizüstü verdiler ama uzaktan kimlik doğrulama çalışmıyor ve şirketin de başka öncelikleri olduğu için düzeltmeye niyeti yok. Bu yüzden o dizüstü yanımda değilse zaten hiç çalışamıyorum ve zaten kişisel cihazlarımı taşırken bir de şirket dizüstünü taşımıyorum. Kişisel cihazlarımı da götürmüyorsam, baştan herhangi bir dizüstü götürecek durumda değilim demektir
      Kendimi işkolik saymam ama yardım edebileceğimi hissettiğimde günün 24 saati stres olan tiplerdenim. Ofis dışında hiçbir şekilde çalışamıyor olmak gerçekten yardımcı oluyor. Kelimenin tam anlamıyla yapabileceğim hiçbir şey yok ve özellikle şirket beni bu duruma getirmişse, aynı şekilde stres de olmuyorum
      [1] VPN anahtarlığı ve eski bir telefon üzerindeki MFA cihazı dışında, Teams ya da e-posta dahil işle ilgili hiçbir şey kişisel cihazlarıma dokunmuyor
      [2] Fabrika ayarlarına sıfırlanmış küçük eski bir telefonda sadece sahte bir Google hesabı ve MFA uygulaması kurulu tutuyorum

  • libexpat (“Expat”) ve uriparser da curl’ün güvenlik tatiline katılıyor; bugünden 2026-08-01’e kadar yeni güvenlik açığı bildirimleri kabul etmeyecekler
    [1] https://github.com/libexpat/libexpat/issues/1277
    [2] https://github.com/uriparser/uriparser/issues/323

  • Bunun güvenliği etkileyebileceğini düşünenler için, curl yeterince olgun bir proje; etkisi büyük bir hatanın ortaya çıkma ihtimali fiilen sıfıra yakın ve öyle bir hata olsa bile birileri Daniel ve ekibine ulaşmanın bir yolunu bulacaktır; daha da önemlisi, yamaların paket yöneticilerine girip dağıtılmasıdır
    Upstream release bekleyebilir

    • Asıl mesele de bu zaten. Güvenlik açığı bildirimlerini kabul etmeyecekler. Tatile çıkıyorlar
    • curl’ün kendisinde bir açık olmasa bile, curl internetten rastgele veri indiren bir araç olduğu için zaten en baştan sıkı bir sandbox içinde çalıştırılmalı
      Kabuktan rastgele veri indirmek bile ortamın diğer tüm kısımlarındaki zafiyetlere istemeden temas edebilir

  • Bu kararı ancak alkışlayabilirim. Özgür açık kaynak proje bakımcıları neredeyse hiç karşılık almadan sürekli aşırı yük altında ve şimdi LLM yüzünden pull request yönetme yükü daha da patladı
    Ücretli kullanıcılara desteğin sürüyor olması tek başına bile yeterli

  • Bakımcılarla empati kuruyorum ama sonuçta yine, neredeyse bedavaya çalışan az sayıdaki bireye yedeksiz şekilde bağımlı olduğumuz gerçeği ortaya çıkıyor.
    Normalde kurumlar bunun önüne geçmek için tatilleri farklı zamanlara yayar. Müşteriler talep ettiği için bunu yapmak zorundadırlar. Burada herkes curl'ün müşterisi ama pratikte aslında öyle de değil. Bunun kimse için iyi olmayan, tuhaf ve sağlıksız bir gri alan olduğunu düşünüyorum. Hatta curl'ün bile bir aylığına on-call bulunduracak mali güce sahip olmaması şaşırtıcı ve üzücü.

    • Özgür ve açık kaynak yazılımda şaşırtıcı olan şey, bakımcılar yoksa tüm haklara ve tüm kaynak koda sahip olduğunuz için gidip kendiniz düzeltebilmeniz ya da bunu yapması için birine para verebilmenizdir.
      Bu ilişkinin sağlıksız hale gelmesi ancak garanti yok durumuna gerçekçi olmayan beklentilerin yansıtılmasıyla olur.
    • Aslında var. Yazının sonunda, destek sözleşmesi varsa yanıt verileceği ve güvenlik sorunlarının da ele alınacağı söylenmişti.
      Yazının ana fikri de desteğe ihtiyacın varsa bir destek sözleşmesi satın alman gerektiğine daha yakın görünüyor.
    • Var.
      “Ücretli destek sözleşmesi olan herkes elbette bu dönemde de tam ve uygun hizmet alacaktır” deniyor.
    • Yazıda açıkça, ücretli destek sözleşmen varsa her zamanki gibi on-call hizmetinin sürdüğü yazıyor.
    • Bu senaryodan endişe duysa da, o kişinin on-call beklemesi için gereken ücreti kendisinin ödemeyeceğini düşünüyorum.

  • Sürekli açık bulmak, bildirmek, analiz etmek, sonra yama çıkarmak ve yeni sürümü tüm kullanıcılara dağıtmak döngüsüne dayanan mevcut sistem açıkça sürdürülemez.
    Sektör, hata ve güvenlik sorunlarını ele almak için alternatif bir sistem bulmalı. Şu anda sektör, görmezden gelmeyi ve kendi başarısızlığını bir rant kollama fırsatına çevirmeyi tercih ediyor.

    • Daha iyi çözüm nedir?
      Ayrıca açık kaynak bağlamında sözünü ettiğin rant kollamaya örnek ne?
    • Bunun doğru olduğunu düşünüyorum ve çözümün bölümlendirme yoluyla güvenlik olduğunu düşünüyorum. Bkz.: https://qubes-os.org

  • Sadece bir cümle okuyunca bile geliştiricinin İsveçli olduğunu hemen anladım.

    • Aşina olmayanlar için söyleyelim: İsveç yaz tatilini ciddiye alır. Yılda 25–30 gün izin + resmî tatiller normaldir ve çalışanın talep edip kullanabileceği izni varsa, yazın 4 hafta kesintisiz izin verilmesi fiilen yasal bir gerekliliktir.
      Bkz.: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
    • Bir Norveçli olarak benim de aklımdan aynı şey geçti. Norveç temelde Temmuz ayında durur.
    • Ben de aynen güldüm. Benim asıl işimin olduğu şirketin de İsveç ofisi var ve onların yaz tatili efsanevidir.
      Bir de ABD ofisi var; Amerikalıların yaşadığı kültür şoku her seferinde yeniden ilginç geliyor.
    • Ben de hemen onun olduğunu düşündüm. İlgiye açlık konusunda onun kadar olan pek az insan var.

  • Avrupa'da, örneğin Almanya'da 20–30 gün ücretli izin ve sınırsız hastalık izni normaldir. Hastalık izni 3 günden uzunsa doktor raporu gerekir.
    Tatilde hastalanırsan o izin günlerini geri alırsın. Tatilde aniden iş yapmak zorunda kalırsan, o süre tatil süresi sayılmaz. Genel olarak ihbar süresi olmadan işten çıkarılamazsın; bu da iş güvencesini artırır ve işsiz kalsan bile işsizlik desteği vardır, bu yüzden yaklaşık 6 bin dolarlık bir acil durum birikimiyle bile oldukça güvendesindir. Bunun sonucu olarak yetersiz insanlar işten çıkarılamıyor mu? Hayır. Hâlâ işten çıkarılabilirler, sadece ardından yaklaşık bir ay daha uğraşman gerekir. Bu büyük bir bedel değil.
    Bunun nasıl mümkün olduğu ve bunu kimin sübvanse ettiği sorusunun cevabı şu: Herkes gelirinin birkaç yüzdesini ödeyerek bu sistemi ayakta tutar. Birkaç yüzde puan, birkaç dolar karşılığında aç kalma ya da evsiz kalma korkusunu fiilen yaşamazsın.
    Siz de oy verip protesto edip demokrasiyi kullanarak herkesin hayatını daha kötü değil daha iyi hale getirirseniz, böyle bir sisteme sahip olabilirsiniz.
 
GN⁺ 4 시간 전
Lobste.rs yorumları

  • “Kötü adamlar durmaz” denir ama yine de bizim dinlenmemiz gerekir
    Umarım tatilini iyi geçirirsin, bunu fazlasıyla hak ediyorsun. Baskı hisseden başkalarının da tatili düşünmesi iyi olur

  • Kötü adamlar bize güvenlik açığı raporları göndermeyecek, bu yüzden tetikte bekliyor olmak bu tehdidi pek değiştirecek gibi görünmüyor
    Şahsen 4 haftalık tatilin bile biraz kısa olduğunu düşünüyorum ama belki de fazla Fransız usulü düşünüyorumdur

    • Daniel galiba İsveç’teki industrisemester kavramına ince bir gönderme yapıyor
      Genelde temmuzda İsveç’teki üretim tesisleri çalışanların çoğuna izin verir, bu süre de fabrikaların kontrol, bakım ve onarımının yapıldığı dönem olurdu. Bugün de birçok kişi yıllık iznini gündönümünden sonraki bir ay içinde planlamaya çalışır; yasal olarak gündönümü haziranın 20-26’sı arasındaki cumartesi günüdür
    • Bu tam bir tatil de değil. Destek sözleşmesi sorunları çıkarsa yine müdahale edeceğini söyledi, yani pratikte daha da kısa sayılır :-D

  • Umarım tatilin keyfini çıkarır :)
    Yalnız, Mythos’un sadece tek bir hata bulduğunu üstü kapalı şekilde övündüğü yazı yüzünden arı kovanına çomak soktuğunu fark etmemiş olabilir

    • Belki de ABD hükümetinin en yeni Anthropic modeli erişimini engellemesinin gerçek sebebi Daniel’e tatil yaptırmaktı
    • Bu benzetme çok uymuyor gibi. Daniel zaten yıllardır arı sürüsüyle çevriliydi ve herkes itibarlı bir curl CVE alıp ün kazanma peşindeydi

  • Bunu görmek güzel. Umarım diğer açık kaynak bakımcıları için de kendi esenliklerini önceliklendirmeye vesile olur

  • Hoşuma gitti. Keşke diğer projeler de bu yaklaşımı izlese