Der Entwickler von curl hat die Sicherheitsprobleme, die in der Vergangenheit entdeckt wurden, sich genauer angesehen: »half of curl’s vulnerabilities are C mistakes«. Interessant bei der Analyse finde ich:

  • 42 von 51 Problemen (82 %) haben mit der Überschreitung von Puffergrenzen zu tun; Pointer-Arithmetik
  • Fehler werden auch mit zunehmendem Alter des Projekts weiterhin eingebaut – Fehler machen auch erfahrene Entwickler: »I think it shows quite clearly that age hasn’t prevented C related mistakes to slip in. Even if we are experienced C programmers and aged developers, we still let such flaws slip in.«
  • Fehler werden durchschnittlich erst nach 6 Jahren (2000 Tagen) oder noch später gefunden und mit dem Alter des Projekts werden die Fehler nicht schneller entdeckt: »Or at least we don’t find old such mistakes that went in a long time ago – as the reported vulnerabilities in the project have usually been present in the source code for many years at the time of the finding.«