Hackney HTTP客户端1.24.0版本安全与稳定性全面升级

Hackney是Erlang生态中一个广受欢迎的高性能HTTP客户端库，以其轻量级和可靠性著称。它提供了完整的HTTP协议支持，包括连接池管理、流式传输、SSL/TLS等现代HTTP客户端所需的核心功能。在分布式系统和微服务架构中，Hackney常被用作底层HTTP通信的基础组件。

安全问题修复

本次1.24.0版本最重要的改进是针对基本认证(Basic Auth)凭证暴露问题的修复。在之前的版本中，当使用HTTP协议(非HTTPS)进行基本认证时，存在凭证可能被中间人攻击窃取的风险。新版本通过引入insecure_basic_auth应用环境变量来增强安全性，该变量默认设置为false，强制要求开发者必须显式允许不安全的HTTP基本认证。

对于仍需要在HTTP环境下使用基本认证的遗留系统，开发者需要明确配置：

application:set_env(hackney, insecure_basic_auth, true).

这一改变体现了Hackney团队对安全最佳实践的坚持，即使可能破坏向后兼容性也要优先保障用户数据安全。

网络与连接管理改进

在DNS解析方面，修复了Docker Compose环境中可能出现的NXDOMAIN错误问题，这对于现代容器化部署环境尤为重要。同时解决了多个与连接池相关的关键问题：

1. 修复了307重定向时连接未正确释放的问题，避免连接泄漏
2. 优化了连接池与定时器之间的竞态条件处理
3. 改进了happy eyeballs算法中的controlling_process错误处理
4. 解决了多个可能导致socket泄漏的场景

这些改进显著提升了Hackney在高并发场景下的稳定性和资源利用率，特别是在处理大量HTTP请求和重定向时表现更为可靠。

流式传输与SSL增强

针对流式数据传输，修复了首个数据块后可能出现的超时问题，这对于大文件传输或流媒体应用至关重要。在SSL/TLS方面：

1. 修复了自定义ssl_options情况下的主机名验证问题
2. 解决了异步流传输中可能出现的SSL消息泄漏
3. 更新了certifi和mimerl依赖，确保使用最新的安全证书和MIME类型处理

内存与进程管理优化

本次更新还解决了多个底层Erlang/OTP相关的问题：

1. 修复了ETS表内存泄漏问题
2. 解决了可能导致进程死锁的场景
3. 优化了gen_server调用逻辑，防止无限循环
4. 改进了socket控制权转移的错误处理

这些改进使得Hackney在长时间运行的服务中表现更加稳定，资源使用更加高效。

开发环境与兼容性

项目持续集成环境已升级至Ubuntu 22.04，确保在最新操作系统环境下的兼容性。同时保持对Erlang/OTP多个版本的支持，兼顾稳定性和现代特性。

升级建议

对于生产环境用户，建议尽快升级到1.24.0版本，特别是那些使用基本认证功能的系统。升级时需要注意：

1. 检查是否依赖HTTP基本认证，并按需配置insecure_basic_auth
2. 测试重定向逻辑，特别是307状态码的处理
3. 验证流式传输功能，特别是大数据量场景
4. 监控连接池和内存使用情况，确认无泄漏

Hackney 1.24.0版本通过全面的安全修复和稳定性增强，进一步巩固了其作为Erlang生态中可靠HTTP客户端的地位，是追求安全与性能的开发者的理想选择。