Vlákno názorů k článku
Curl zakazuje ve svém kódu funkci strcpy(), použije vlastní bezpečnější náhradu od Ondřej Novák - No C jsem dávno opustil právě proto, že...

No C jsem dávno opustil právě proto, že už přes 30 let nezmodernizovalo svou standardní knihovnu

- já vím, je to posix knihovna, ale proč sakra tedy neschváli nějakou vlastní, bezpečnou?

Ale POSIX má modernější a bezpečné varianty funkcí, ale ty staré tam z důvodu kompatibility musí zůstat, a to poměrně hodně dlouho. Je z toho pak trochu zmatek v dokumentaci.
Kompilátory (clang i gcc) a analyzátory (např. SonarQube) dokonce zobrazují warningy o deprecated/unsafe funkcích, ale je fakt, že ke skutečnému odstranění snad nikdy nedošlo.
Takže je to na programátorech, buď jim je to jedno a použíjí jednoduhé/nebez­pečné funkce nebo prostě mají zájem na modernizaci kódu a ten kód skutečně modernizují.

Na druhou stranu jeste ze k tomu odstraneni nedoslo. Warning je OK, nepouzivat to s user provided stringy je taky standard, ale je spousta validnich use-case, kdy je to bezpecne i rychle - treba s->field = safemalloc(strlen(­string)+1); strcpy(s->field, string) ; plus zpetna kompatibilita.

Ono staci to peklo, ktere rozpoutala ve starsich projektech c23 :(

Rychlé? Volá se tam strlen. Rychlé je memcpy. A bezpečností je na tom nastejno se strcpy, možná i líp.
strcpy se dá použít bezpečně jen v situacích, kdy ho jde triviálně nahradit pomocí memcpy. Když neznám předem délku stringu, tak je to past.

BTW, i ten strlen není úplně cajk. On tam ten zero terminátor být nemusí a strlen to nepozná. A pak ten string copy může útočníkovi naservírovat nějaká cizí data.