curl 项目已被接受为 CVE 编号机构 (CNA)，这意味着他们将直接管理自己产品（包括 curl, libcurl 和 trurl）的 CVE。

CNA（CVE Numbering Authority，CVE 编号机构）是 CVE 编号的分发机构，主要职能是在授权范围内颁发和管理 CVE 编号。

via https://www.cve.org/Media/News/item/news/2024/01/16/curl-Added-as-CNA

curl 作者表示，未来将直接针对 CVE 数据库保留和管理他们自己的 CVE，无需中间人。而且在没有他们参与的情况下，其他人都无法为他们的产品注册 CVE。不过会有一个上诉流程，即使被拒绝，别人实际上仍然可以针对问题提交 CVE，因此有一个双方可以争论自己观点的流程。

curl 项目此举主要是为了应对虚假的CVE问题，以确保CVE的准确性和有效性。因为不久前 curl 作者表示，用户利用 LLM 生成虚假漏洞报告，这些报告看似专业，但实际上并不存在安全问题，这浪费了 curl 项目开发人员的时间和精力，也增加了安全评估的工作量。

• 延伸阅读：大模型 LLM 对 curl 项目的安全工作造成了困扰