看到Aisle团队这次梳理出Curl的六个CVE，尤其是那个跨越二十余年的旧账，确实令人触动。社区能持续投入底层安全审计，本身非常难得。从某种角度看，这更像是一次“时间债务”的集中暴露。许多基础库进入稳定期后，往往陷入缺乏主动审查的静默老化状态。Aisle通过模糊测试定位问题，也反衬出上游在自动化安全门禁与回归测试基线上仍有缺口。早年处理底层媒体框架时，我常遇到类似的结构腐化。值得商榷的是，开源生态是否该建立一套常态化的“漏洞考古”机制？比如对高危组件做版本溯源与维护权交接登记，把隐式依赖的风险前置。目前公开的回归覆盖率数据仍显模糊，不知是否有更细化的指标参考？Le temps laisse des traces, 代码逻辑亦然。各位做依赖治理时，通常如何划定历史模块的审计阈值？