​200 亿设备运行你的代码，你还能安心睡觉？Curl 之父告诉你答案…

主要观点总结

Curl创始人Daniel Stenberg在FOSDEM开源年度大会上分享如何确保C代码安全性，即使它被部署到数十亿台设备上。他强调Curl项目致力于实现最高级别的安全性，通过禁用易出错的不良函数、进行折磨测试、随机测试、持续集成和多种其他测试来确保安全性。他还提到了漏洞管理和赏金计划的重要性。此外，项目成员还遵循严格的代码风格和文档要求，并使用双因素认证来增强安全性。虽然Curl项目从一开始就注重安全性，但其他开源项目可能需要在发展过程中逐渐加强安全措施。

关键观点总结

关键观点1: Curl的全球安装量保守估计为200亿，这使得数据传输工具肩负起一份责任。

Daniel Stenberg在演讲中提到了Curl的安装量，并强调了项目的重要性。

关键观点2: Curl项目通过一系列测试确保安全性。

包括禁用不良函数、进行折磨测试、随机测试、持续集成和其他测试。

关键观点3: Curl项目重视漏洞管理和找漏洞。

通过及时修复漏洞、记录详细信息和进行审计来管理漏洞。还与HackerOne和互联网漏洞赏金计划联合运行漏洞赏金计划。

关键观点4: Curl项目成员遵循严格的代码风格和文档要求。

为了提高项目的可读性和可维护性，项目有严格的代码风格要求，并强调文档的重要性。

关键观点5: Curl项目注重成员访问的安全。

项目成员使用双因素认证来访问托管的源代码，并感激GitHub提供的额外测试资源。