开源世界最核心的基础设施之一——curl 项目，其创始人兼首席维护者 Daniel Stenberg 今日宣布了一项不同寻常的决定：curl 项目将在整个 2026 年 7 月暂停接受漏洞报告，这段时间被命名为"curl summer of bliss"（curl 幸福之夏）。这不是玩笑，也不是对安全的不重视，而是一个被持续高压压垮的开源维护者发出的求助信号。

curl 是什么？几乎每一台联网设备都在使用它。从路由器固件更新到汽车车载系统，从 Android 手机到云服务器，curl 是互联网数据传输的隐形骨架。这个被全球数十亿设备依赖的库，其核心维护团队实际上只有寥寥数人，而 Daniel Stenberg 本人已经在这个项目上工作了超过四分之一个世纪。

"过去大约四个月里，我承受着巨大的压力，以远超正常节奏的速度工作。"Stenberg 在博客中写道。这种压力并非来自单一事件，而是多个因素的叠加：curl 8.21.0 版本发布带来的问题、一系列需要修复的安全漏洞，以及大量积压的 GitHub issues 和 PR。对于一个小型开源维护团队来说，这种持续的高强度运转是不可持续的。

具体的安排是：从 2026 年 7 月 1 日到 8 月 3 日，curl 的 HackerOne 漏洞提交表单将被暂停，安全邮件列表也将被忽略。这一决定实际上是给 curl 的维护者们放一个真正的假期——不查看安全报告，不处理漏洞，不回应任何安全相关的邮件。这是维护者们为自己争取的一个喘息窗口。

与此同时，curl 8.22.0 版本也被推迟两周，从原定的 8 月中旬延后到 9 月 2 日发布。"我们需要时间恢复精力，"Stenberg 解释道，"这样才能以更健康的状态回归。"这种公开承认需要休息的姿态，在开源维护者中并不多见。更多的维护者选择默默退出，留下一封冰冷的弃坑邮件，或者干脆不辞而别——这在开源社区被称为"维护者倦怠"，是近年来困扰整个开源生态的顽疾。

值得注意的是，curl 项目并不会在此期间完全封闭。GitHub 上的 issues 和 pull requests 依然开放，代码贡献可以正常进行。商业支持合同的客户也不会受到影响——付费客户仍然可以获得完整的服务。这个区别很重要：curl 暂停的是无偿的安全响应工作，而非付费的商业服务。这实际上暴露了开源生态中一个根本性的矛盾：全球最大的科技公司都在免费使用 curl，但当维护者需要休息时，他们找不到人顶替。

Stenberg 的博客评论区中有开发者指出，curl 的处理方式实际上为整个开源社区提供了一个值得借鉴的模板。与其等到维护者彻底崩溃或愤而退出，不如主动规划休息时间，设立明确的边界。这听起来像是常识，但在"你的代码被数十亿人使用"的压力下，说"不"需要巨大的勇气。

当 curl 这样的基础设施项目的维护者公开说"我累了"时，整个技术行业都应该认真倾听。这不仅仅是一个休假公告，更是一个关于开源可持续性的警钟。如果连互联网最关键的组件之一的维护者都找不到合理的休息方式，那么整个开源生态的健康状况就值得担忧了。curl 的幸福之夏，或许是开源社区需要的一场关于人性化维护的对话的起点。

参考来源：curl summer of bliss - daniel.haxx.se