办事不力、沟通无果,cURL 作者公开指责微软


这家名为微软的公司运营着这个名为 NuGet 的软件包管理器,他们托管了一个 cURL 软件包……,…… 这个软件包一直在欺骗用户下载它,它已经过时、陈旧、满是漏洞,应该被移除,但我无法反馈此事或让他们对此采取什么行动。

这是 cURL 作者 Daniel Stenberg 近日发布的推文节选,直指微软不作为。

抱歉讲太快,现在让我们倒带 <<<<<<<<< 重新梳理一下故事的来龙去脉。

cURL 项目的作者 Daniel Stenberg 对项目的维护非常积极,经常使用 cURL 的用户应该也清楚它的大致更新周期。cURL 差不多每两个月就会发布一个版本更新,目前 cURL 的最新版本为今年二月中旬发布的 7.88。

但你可以想象到目前 NuGet 包管理器当中的 cURL 版本到底有多旧吗?5、4、3、2、1,答案是 cURL 7.30,最后一次更新时间还停留在 2013 年 6 月。

版本太老旧也不是 Daniel Stenberg 发布推文抨击微软的主要原因,最主要的原因在于 Daniel Stenberg 向 NuGet 反馈后,NuGet 一直没有帮助他解决这个问题。

Daniel Stenberg 表示,当他向 NuGet 报告了这个问题后,NuGet 以为 Daniel Stenberg 是在寻求支持,所以表示他们不对个别软件包提供支持,让 Daniel Stenberg 使用详细信息页面上的 “联系” 链接直接联系软件包的所有者(上传这个包的用户,NuGet 上的软件包是由志愿者构建和提供的,Daniel Stenberg 无法亲自提供更新或 “接管” 此软件包)

NuGet 上的 cURL 的所有者叫 coapp,Daniel Stenberg 在尝试联系后,并没有得到任何回应。因此 Daniel Stenberg 就想着能不能以存在漏洞为由报告这个问题(由于版本太老,很多漏洞都是公开可查询到的),让他们从 NuGet 上删除这个包呢。但 NuGet 表示他们只接受微软产品的这种报告,对于其他非微软的软件包都需要联系软件包的所有者。

NuGet 不帮忙处理,所有者也联系不上,那么这件事情就陷入了死胡同,无奈之下 Daniel Stenberg 就发布了多条推文,公开了此事。

网友的力量还是强大的,在网友的帮助下经过几次 @,微软的开发者,也是领导 nuget.org 工程团队的负责人 Joel Verhagen 看到并回复了 Daniel Stenberg。

原来在 Daniel Stenberg 上报这个问题后,NuGet 团队就注意到了这个特殊情况,并与这个软件包的所有者取得了联系,目前这个所有者已经参与进来了。只不过 NuGet 在这个过程中都没有通知 Daniel Stenberg,并承认这是他们的失误,后续他们将通过电子邮件进行联系。

目前 NuGet 已经暂时撤下了 cURL,用户无法再搜索到 cURL,即便你知道项目详细的链接,现在访问 cURL 的页面也会展示明显的警告,让用户暂时不要使用 cURL。

暂时还不清楚他们是否会更新 cURL,也不清楚会在何时重新上架 NuGet。不过 cURL 并非个例,NuGet 中还有许多其他软件包也面临着类似的情况,NuGet 也需要改变现有的机制,总不能让每个软件包的真正作者都来 Twitter 上抱怨吧。


相關推薦

2023-04-01

curl 作者 Daniel Stenberg 在博客中宣布,以后将不再向各 Linux 发行版的邮件列表发送有关 cURL 安全漏洞的提前预告。 Daniel Stenberg 从 2011 年开始向发行版邮件列表(当时称为 linux-distros)发送有关"已发现但未解决"的 curl 安全漏洞

2022-10-20

一名开源软件作者决定对 GitHub Copilot 发起诉讼。 Matthew Butterick 是拥有多重身份的程序员,他从 1998 年开始深度参与开源社区,曾在 Red Hat 工作了两年,同时也是作家、设计师和律师,写过两本关于排版的书——《Prac­ti­cal

2022-09-28

Firefox 开发商 Mozilla 近日发布了一份研究报告(PDF 下载地址),全文长达 66 页,主题是探讨为什么浏览器对互联网至关重要,以及操作系统如何阻碍了它们的发展。 Mozilla 表示这份报告有两个目标: 第一,介绍 Mozilla 对用

2022-06-17

P Tools Host”不会开源,但我们计划在此过程中与社区进行沟通,以帮助指导我们未来的计划。 简而言之,采用 LSP 通信机制之后,这个新的 LSP Tools Host 组件将是新的 C# for VS Code 扩展的默认功能包,会捆绑更多“开箱即用”的

2021-12-27

,「被许可人」需要在软件和软件的所有副本中包含「原作者」的著作权声明和该许可声明。 日前,微软 fork 一个基于 MIT 协议的开源项目后,将原作者的著作权声明修改为了微软自己,这一举动引发了争议。 微软 fork

2024-07-13

GitHub 代码仓库来训练他们的 AI 系统,此举侵犯了大量创作者的合法权利,因为这些公开仓库大多数都采用了开源 License,这些 License 都明确描述了授予使用者的权利和义务,比如保留原作者的署名,而且原作者依旧拥有开源软

2022-11-19

到 7.86.0 —— 离发布 7.100.0 只差十多个版本,但 curl 作者 Daniel Stenberg 不希望在次版本号中使用三位数,因为他担心这会引发不必要的问题(可参考 Chrome 为发布 100 版本时所做的准备),甚至可能会导致他人用于比较版

2021-11-19

curl 创始人兼首席开发者 Daniel Stenberg 昨日发表了一篇吐槽苹果的博客,原因是当用户向苹果寻求帮助时,苹果直接回复用户让他自行联系 curl,然后提供了 curl 的帮助页面地址。 Daniel 说道:“想象一下,一家价值万亿美

2023-04-20

trurl 是用于 URL 解析和操作的命令行工具,也是 cURL 作者 Daniel Stenberg 开源不久的新项目。 自上一版本以来的变化: --get 也支持[括号]中的变量 --get {query-all:key} 输出查询中 'key' 的所有值 换成了 test.py 来进行测试 --iterate

2022-11-20

curl 创始人兼核心开发者 Daniel Stenberg 发表博客称,他正在考虑是否要将 curl 使用的 C 语言标准从 C89 升级到 C99。 Daniel 表示,他观察到许多广受欢迎的 C 语言开源项目正在向前发展,并将所使用的 C 语言标准升级到 C99 或更高

2023-06-29

行版 RHEL (Red Hat Enterprise Linux) 相关源码仅通过 CentOS Stream 公开,付费客户和合作伙伴可通过 Red Hat Customer Portal 访问到源代码。 此举引发了巨大争议,红帽甚至被指责“背叛”开源。 近日,红帽副总裁 Mike McGrath 通过官方博客

2022-12-08

容指出,除了终止所有销售外,JetBrains 在俄罗斯的所有办事处,包括莫斯科、新西伯利亚和圣彼得堡都已被关闭,在圣彼得堡的新园区的工作也被终止。所有研发活动逐渐停止,其俄罗斯法人实体的清算文件也已于 2022 年 8 月

2024-04-26

们遇到问题,猜猜谁会来敲我的门? 在nut.js仓库的这个公开问题中,我被公开指责完全不真实的事情,成为了最后一根稻草。 这已经发生好几次了。因为我用nut.js做的事情,我在Discord、Reddit上受到了侮辱,现在又在GitHub上,

2023-02-17

curl 作者 Daniel Stenberg 宣布推出 7.x 系最后一个版本:7.88.0。「7」到此为止,下次更新将正式发布 curl 8。关于版本号「8」的来由,查看《curl 作者不想推出 7.100,为此制定了 curl 8 发布计划》。   此版本修复了 3 个安全漏