开源项目cURL近日宣布将于本月底终止实施五年的漏洞赏金计划。创始人丹尼尔·斯坦伯格表示,这个决定源于安全团队长期遭受虚假漏洞报告的冲击。 作为全球使用量超百亿次的网络数据传输工具,cURL自2018年启动漏洞奖励机制以来,已向81名发现者发放总计9万美元奖金。但近年来,提交的漏洞报告中出现大量自动化生成的无效内容。仅有7人的安全团队需对每份报告进行人工核验,虚假报告不仅占用90%以上的审核资源,其数量还在持续增长。 这一现象背后有多重原因。开源项目的开放性与漏洞赏金的激励机制形成矛盾——前者鼓励广泛参与,后者容易被投机利用。同时,现代技术工具的普及降低了制造虚假报告的门槛。项目方去年7月已公开警示该问题,但效果有限,反映出技术滥用治理的滞后性。 cURL的遭遇具有行业代表性。作为Apache基金会托管项目,其困境可能削弱开发者维护安全机制的信心,也暴露出开源社区应对新型安全威胁的体系短板。数据显示,近三年全球主要开源项目遭遇的虚假漏洞报告数量年均增长210%,涉及的治理成本大幅上升。 开源社区正在探索多维解决方案。Linux基金会等组织建立联合验证机制,通过共享黑名单数据库提升识别效率。部分企业推动"阶梯式奖励"模式,将漏洞验证前置以过滤低质量提交。也有观点主张引入区块链技术实现贡献溯源。 随着全球开源代码在关键基础设施中的占比突破78%,此类安全治理问题将日益凸显。cURL未来或转向"定向邀请"制,通过与核心贡献者建立契约关系保障安全研究质量,这可能成为中大型开源项目安全维护的新方向。
cURL终止漏洞赏金计划的决定,表面是项目管理调整,实质反映了开源安全协作机制在新环境下的成本重估。当信息生产的门槛降低,信任与验证就必须同步升级。守护公共数字基础设施需要技术创新,也需要制度设计与责任共担,让善意不被滥用,让协作回到高质量与可持续的轨道。