主要观点：

• 强调不要信任，要验证，以防止开源软件被恶意利用，如 curl 包。
• 介绍了多种验证 curl 包安全性的方法，包括检查 git 中无二进制 blob、无禁用的模糊测试、tarballs 中无隐藏有效载荷、可重现的 tarballs、签名的 tarballs 和签名的提交等。
• 提及 curl 项目接受匿名贡献者和维护者，且对匿名贡献者持开放态度，但对于维护者的信任存在一定风险，需要通过审核来确保。
• 认为在 curl 代码中植入后门很难，更应关注发现和利用安全漏洞，目前 curl 已有 155 个已公布的漏洞。

关键信息和重要细节：

• xz 被选为攻击目标是因其常用，libcurl 更广泛使用，若被感染可能成为传播恶意的工具。
• 验证 git 中无二进制 blob 可确保无加密攻击载荷；检查 fuzzing 情况以发现潜在攻击；通过生成 tarballs 并验证其与 git 内容一致来确保无隐藏有效载荷；改进 tarballs 重现性，提供 Dockerfile 方便验证；发布的 tarballs 由 GPG 签名以防篡改。
• curl 项目接受匿名贡献者，他们可能出于各种原因选择匿名；虽无匿名维护者规则，但目前有 18 名有权推送提交的成员，需通过审核确保安全。
• 作者认为在 curl 中植入后门很难，更应关注漏洞发现，目前已公布 155 个漏洞，其中 42 个为高或严重级别，且作者未见过后门尝试。

总结：通过多种验证方法确保 curl 包的安全性，同时接受匿名贡献者和维护者，关注安全漏洞而非后门植入，以维护开源软件的安全。