curl 创始人兼核心维护者 daniel stenberg 发布了 curl 项目 2025 年度回顾报告。
中文翻译如下:
让我们一同回望,梳理这一年所经历的一切与收获。
提交(commits)
2025 年,curl 仓库的代码提交总数突破 3,400 次,较此前任意单一年份高出整整 40%。
在本年度某个时间节点之后,除作者本人外,其余所有贡献者累计向主仓库新增的代码行数,首次超过了 Daniel Stenberg 个人的历史总贡献量。这意味着,在整个 curl 项目至今所有已合并进产品代码的新行中,他本人所撰写的占比已低于 50%。
全年共合并了来自 150 余位开发者的提交,其中近 100 人为首次参与贡献。另有 13 位作者在 2025 年内完成了不少于 10 次有效提交。
Viktor Szakats 在 2025 年几乎每个月都保持着最高提交频次,稳居贡献榜首位。
截至年底,Stefan Eissing 是当前约 29% 的产品源码行最近一次修改者;而 Daniel Stenberg 对应的比例为 36%。
目前仍有约 598 位作者的代码“存活”于当前发布版中——这一数字相较去年底的 635 人略有回落。
测试(tests)
相比 2024 年 12 月,年末测试用例总数新增 232 个,达 2,179 个。这是历史上首次实现:每千行产品源码平均对应超 12 个测试用例。
(需指出的是,单纯以测试数量衡量覆盖质量并不绝对可靠——毕竟单个测试可能涵盖极简验证或复杂场景,但这是我们现阶段唯一可量化追踪的指标。)
发布(releases)
2025 年共推出 8 个正式版本,节奏平稳:
- 8.12.0
- 8.12.1
- 8.13.0
- 8.14.0
- 8.14.1
- 8.15.0
- 8.16.0
- 8.17.0
本年度未出现颠覆性架构调整或重大功能重构。
我们显著降低了代码整体复杂度,逐步弃用了一批易引发 bug 或逻辑混乱的旧函数,在提升运行效率的同时也减少了内存分配次数。
新增对 DNS HTTPS-RR 记录类型的实验性解析支持。
年末漏洞修复强度创历史新高:仅 curl 8.17.0 一个版本就集成了近 450 处安全与稳定性修复。
今年起,我们正式引入“候选发布版”(Release Candidate)机制。每次正式发版前,均会提前上传多个 RC 版本供社区试用与反馈,从而更早识别潜在回归问题,避免将缺陷带入稳定分支。
命令行选项
截至 2025 年底,curl 支持的命令行参数共计 273 个,比去年增加 6 项:
- 8.17.0:
-knownhosts - 8.16.0:
-out-null-parallel-max-host-follow - 8.14.0:
-sigalgs - 8.13.0:
-upload-flags - 8.12.0:
-ssl-sessions
man 手册页
curl 的官方手册持续扩充,全年新增超 500 行内容,总长度已达 7,090 行。若按“每个选项平均对应的手册说明行数”计算,该数值由去年的 24.7 上升至 26。
代码行数
本年度 libcurl 部分仅净增约 100 行代码,而命令行工具部分增长了 1,150 行。
当前 libcurl 源码规模略超 149,000 行,命令行工具约为 25,800 行。
绝大多数提交聚焦于既有功能优化与稳定性增强,而非盲目扩张新特性——这一点亦体现在下文“移除支持”章节中。
QUIC
OpenSSL 在 3.5 版本中终于发布了面向 QUIC 协议栈的官方 API,标志着其对 HTTP/3 的底层支持趋于成熟。
受此影响,curl 中基于 OpenSSL 的 QUIC 实现已被标记为“弃用”,并计划于 2026 年初彻底移除。
此外,随着 msh3 支持已在 2025 年被裁撤,预计到明年,curl 将仅保留两个 QUIC / HTTP/3 后端实现。
安全(Security)
2025 年,“AI 自动生成的安全漏洞报告”数量激增,给 curl 安全响应团队带来沉重负担,并频繁引发媒体关注。
即便是一些未明确标注 AI 参与的安全报告,其整体质量也明显下滑,同时提交量大幅攀升,进一步加剧了日常维护压力。
全年共公开 9 个与 curl 相关的 CVE 编号,全部属于低危或中危等级。
AI 辅助改进
新一代 AI 驱动的高精度静态分析工具开始主动向项目提交高质量缺陷报告,主要来自 ZeroPath 和 Aisle Research。依据这些反馈,我们已完成数百个漏洞的修复,相关工作仍在持续推进中。
这还不包括我们常规 CI 流程中集成的各类静态/动态分析工具所发现并修复的问题。
Web 流量
截至 2025 年底,curl.se 网站月度数据传输量达 79 TB,较去年同期的 58 TB 增长 36%。
由于缺乏精细化日志与流量溯源能力,我们尚无法精确判断这些请求的具体构成,但可以确认:真正用于下载 curl 安装包的流量仅占极小比例,其中相当一部分显然并非由真实用户发起。
GitHub 活动
curl 的 GitHub 主仓库平均每月接收超过 200 个 Pull Request。
在今年秋季某一时段,待处理 Issue 数量曾短暂归零。
目前项目共配置 220 多个独立 CI 任务,年底每日合计消耗 CPU 时间逾 25 个“CPU 日”,用于保障持续集成的质量与稳定性。
仪表盘(Dashboard)
curl 项目仪表盘规模显著扩展。尽管我移除了若干已失效或不再准确的图表,但整体图表数量仍从 2024 年 12 月的 82 张增至 2025 年 12 月的 92 张插图,总计包含 259 个独立可视化组件,增幅约 25%。
移除的支持(Dropped support)
为精简维护范围、集中资源、强化安全性,2025 年我们陆续淘汰了一批陈旧或边缘化的技术依赖:
- Visual Studio 2005 及更早版本(8.13.0 移除)
- Secure Transport(8.15.0 移除)
- BearSSL(8.15.0 移除)
- msh3(8.16.0 移除)
- winbuild 构建系统(8.17.0 移除)
原文链接:https://www.php.cn/link/a7cde78dc3c25e85fa5cba29a6704fbf
源码地址:点击下载
