curl项目的贡献者James Fuller近日在一次教育演示中揭示了一个潜在的安全隐患。他提交了一份pull-request,建议对一组脚本进行更大规模的清理。在展示中,他指出没有一个团队成员或任何CI任务发现他所包含的修改:在一个URL中替换了ASCII字母为Unicode替代品。来源
这一发现震惊了项目组成员,促使他们决定加强代码审查能力。虽然替换的字符在视觉上与ASCII版本相同,但差异查看器能够识别出其中的不同。然而,Github对此问题的反应似乎不够迅速。来源
为了应对这一问题,curl项目已经在其git仓库中添加了一个CI任务,扫描所有文件并验证每个UTF-8序列。这样可以帮助识别潜在的恶意Unicode字符,并防止可能的安全漏洞。来源