OSSのcurlが異例の「夏休み」を宣言、7月中は脆弱性報告を受け付けず開発者の負担軽減へ

データ転送ツール「curl」の開発チームが2026年7月1日から脆弱(ぜいじゃく)性報告の受付と対応を一時停止すると発表しました。相次ぐ報告への対応で開発者の負担が高まっているためで、受付は8月3日に再開される予定です。

curl summer of bliss | daniel.haxx.se
https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/

curlはインターネット上でデータを送受信するためのオープンソースソフトウェアで、コマンド1つでウェブサイトからファイルを取得したり、アプリが外部サービスと通信したりすることが可能です。ライブラリ「libcurl」は数多くのソフトウェアや機器に組み込まれており、インターネットの基盤を支える存在として知られています。そのため、脆弱性報告への対応は多くの利用者に影響する重要な業務となっています。

脆弱性報告が届くと、開発チームは問題を再現し、影響の大きさを調べ、修正プログラムを作成し、問題が混入した時期を特定した上で報告者との調整を進めます。curlの創設者で主任開発者のダニエル・ステンバーグ氏によると、2026年春以降は質が高く詳細な報告が急増しており、報告数は2024年の4～5倍、2025年の約2倍に達しているとのこと。平均すると1日に1件を超える報告が届き、対応が遅れるほど未処理案件が積み上がる状態になっていました。

開発者が仕事から離れて実際に休める期間を確保するため、curlプロジェクトは休暇期間を「curl summer of bliss」と命名。脆弱性報告に使われているHackerOneの投稿フォームを日本時間の7月1日7時に停止します。受付再開は日本時間の8月3日16時を予定しています。

休暇期間中に脆弱性を発見しても、一般の報告者はHackerOneの受付再開まで待つ必要があります。

一方で、脆弱性とは関係のない一般的な不具合報告やコード修正の提案については、GitHubのIssueやPull Requestをこれまで通り利用できます。開発作業を全面的に停止するわけではなく、開発者によっては不具合の修正や新しいコードの作成に時間を使う可能性もあるとのこと。

脆弱性報告の再開後に未処理案件へ対応する時間を確保するため、curl 8.22.0のリリース日は当初の予定から2週間延期され、2026年9月2日に変更されています。悪意ある攻撃者は夏休みを取らないのではないかという問いに対し、ステンバーグ氏は「おそらく休まないが、私たちは休む」という趣旨の回答を示しています。

なお、有料サポート契約を結んでいる顧客には休暇期間中も通常通りサービスが提供されるとのことです。