據 cURL 開發者 Daniel 發布的最新博客，近期 cURL 完成了一項外部安全審計，重點是關注 curl 的 HTTP/3 相關組件和源代碼，特別是是在使用 ngtcp2 和 nghttp3 庫相關的 curl 源代碼上。

此次安全審計由主權技術基金(德國)通過 OSTIF 贊助，由負責任的審計團隊 Trail ofBits 負責審計，因此開發者不需要為這次安全審計承擔經濟上的負擔。

審計結果是沒有發現任何重大安全問題，但是改進了模糊測試功能，同時安全審計也指出了一些其他方面適合改進的東西，特別是模糊測試方面。

審計過程發現開發者此前在無意中大幅度縮小了模糊測試的覆蓋范圍，開發者都沒有注意到這事兒，審計發現后開發者立即進行了改進，好消息是至少在這段時間內 cURL 沒有發生任何重大問題。

由于 cURL 使用第三方庫來執行 QUIC 和 HTTP/3，審計報告中建議應對所涉及的庫進行后續審計，這個開發者確實做不到了，因為這牽涉到外部的公共開源庫，只能由其他公司或贊助商提供資金對開源庫進行審計。

完整審計報告：https://curl.se/docs/audits.html