鉴于今年早些时候暴露出的心脏出血漏洞的反作用,OpenSSL项目发布了其第一个安全策略,该策略详细说明了项目如何处理安全问题。
该策略指出,该项目将安全问题分为三类:高、中度和低级别。
要获得较高的评价,必须利用OpenSSL的常见配置,例如发起拒绝服务攻击、内存泄漏或远程代码执行。在向项目报告时,策略声明这个问题将在OpenSSL开发团队中保持私有,并提供了一些Linux和BSD发行版的详细信息和补丁,以便他们为用户准备包并提供反馈。
“这些[高严重性]问题将保持为私有,并将触发所有受支持版本的新版本,”.”我们将努力将这些问题保持在最低限度;我们的目标将不再是我们控制下的问题,如果有重大风险或我们意识到正在利用这一问题,我们的目标就会更快。”
如果发行版泄漏问题,或者没有以反馈、测试结果或更正的形式“增加价值”,OpenSSL项目将保留撤回对未来问题的通知的权利。
对于被认为是中度严重的问题,它将被保留为私有的,并被滚动到下一个OpenSSL版本中,该版本旨在修复许多这样的问题。
低严重程度的问题将立即在项目的开发分支中修补,并可能返回到旧的、支持的OpenSSL版本。他们不会导致新的释放,政策说。
尽管致力于在安全问题上保持透明度,OpenSSL说,关键是要将问题保密,直到修复准备就绪。
“你告诉的越多的人就越有可能发生泄漏的可能性越高,”说.”我们在OpenSSL和其他项目之前都看到了这种情况。”
该项目说,它过去曾试图使用CPNI、oCERT或CERT/CC等第三方处理问题通知,但没有一个是合适的。
“快速解决OpenSSL安全问题符合整个互联网的最佳利益,”该策略声明。“OpenSSL禁运应该以天和周来衡量,而不是几个月或几年。”
OpenSSL拒绝了用户能够为提前通知问题付费的概念。
该项目表示:“组织在市场营销中利用事先通知作为竞争优势是不可接受的。”
“我们强烈认为,推进补丁/信息的权利不应以任何方式建立在某个论坛的付费会员基础上。”