OpenSSL承诺出问题时提前通知开发商 送沙包堵漏洞

鉴于前不久冒出来的Heartbleed漏洞，OpenSSL项目决定，OpenSSL发布安全相关的修正程序时，会提前通知那些使用OpenSSL流行加密包的Linux和Unix操作系统发行商。

OpenSSL项目决定，附有OpenSSL的操作系统发行商会在修正程序发布前收到通知——通过openssl-announce list电邮群收到通知，但不会提供问题的细节。

尽管OpenSSL项目的维护人员决定重要的漏洞有必要尽量“暗箱”处理，但他们也指出，严重的漏洞不应该成为长期秘密。OpenSSL项目的一个网帖表示，“OpenSSL漏洞被发现后，沉默期当在几天几星期以内，而不是几个月几年。”

OpenSSL项目称，漏洞保密级别按严重程度分成3级。“低级别”问题——包括那些难以用做攻击的漏洞——会在发布修正程序后及时公布，一般来说，是“立即”公布。这些问题常常会导致修复程序的发布，但由此而导致发布新版本的可能性不大。

“中度”问题包括应用程序崩溃，例如不太常见的DTLS（数据报传输层安全性）和涉及本地漏洞的缺陷。OpenSSL项目决定对这一类别的问题作内部处理，直至修复了问题后发布新版本时才会对外公布。

“严重”问题会被保密处理，直至所有受支持版本都发布了新版本，但OpenSSL项目自当“尽量将保密时间降至最低”，在漏洞存在被利用的风险或证据时尤其会这样做。

有关公告的发布在细节上有一些特别的考虑；主要的一条是，发布安全修复程序的计划会先行公布（连同其严重程度），会发帖将具体日程公布在OpenSSL主页上，但修复的性质在修复程序发布前不会公开。

但是，“如果更新中包括十分严重性的问题，我们也会提前就更多的细节和补丁发出通知”，基本的考虑是，需额外通知用户，使用OpenSSL的操作系统需要几天的时间来给最终用户准备程序包以及提供测试反馈。

OpenSSL项目称不希望预先通知成为营销噱头，OpenSSL的一个网帖表示，“我们不能接受一些部门将预先通知说成一种竞争优势的营销手段。例如，‘如果你买了我们的产品/用我们的服务，你就会提前一个星期得到保护’这一类的说法是不可取的。”