curl projesi, güvenlik açığı raporlama sürecinde önemli bir değişikliğe giderek yeniden Hackerone platformuna dönme kararı aldı. Ocak 2026 sonunda bug-bounty programını sonlandırıp güvenlik raporlarını GitHub üzerinden kabul etmeye başlayan proje, bu hamlenin bir hata olduğunu fark etti. 1 Mart 2026 itibarıyla, curl güvenlik ekibi, güvenlik sorunlarının raporlanması için resmi platform olarak tekrar Hackerone'ı kullanmaya başlayacak. Ödül parası ve bug-bounty programı ise devam etmeyecek; yani güvenlik açığı raporları için herhangi bir ödeme yapılmayacak.
Bu "zikzak" hareketin, en iyi niyetlerle yapıldığı belirtiliyor. curl güvenlik ekibi, birçok projenin GitHub'ı kullandığını görünce kendileri için de yeterli olacağını düşünmüş ancak özel gereksinimleri nedeniyle bu platformun beklentilerini karşılamadığını görmüş. Proje, bir güvenlik raporlama sisteminden beklediklerini detaylı bir şekilde listeledi. Bu beklentiler arasında, raporların başlangıçta gizli olması, sadece raporu gönderen ve güvenlik ekibinin erişimine açık olması yer alıyor. Ancak tüm raporların (doğru veya yanlış) çözüldükten sonra kamuya açık hale getirilmesi, açık kaynak ruhuna uygun olarak maksimum şeffaflığın sağlanması kritik bir gereklilik olarak vurgulanıyor.
Ayrıca, güvenlik ekibi üyeleri, raporu gönderen kişi ve davetli misafirler arasında sorunların tartışılabileceği bir ortam, güvenlik ekibine özel mesajlaşma imkanı, onaylanmış güvenlik açıkları için danışmanlık (advisory) oluşturma desteği ve CVE numarası için kendi CNA (CVE Numaralandırma Yetkilisi) statülerini kullanabilme gibi özellikler arıyor. GitHub'ın bu ihtiyaçları karşılamakta yetersiz kalması, özellikle raporların e-posta yoluyla kontrolsüzce gönderilmesi gibi eksiklikler, curl projesini Hackerone'a geri dönmeye iten başlıca nedenler arasında gösteriliyor.
curl projesinin güvenlik raporlama platformu tercihini değiştirmesi, açık kaynak projelerinin şeffaf ve etkili güvenlik yönetimi için karşılaştığı zorlukları ve özel ihtiyaçlarını gözler önüne seriyor.