OpenSSL承諾出問題時提前通知開發商 送沙包堵漏洞
責編:admin |2014-09-12 09:51:25鑒于前不久冒出來的Heartbleed漏洞,OpenSSL項目決定,OpenSSL發布安全相關的修正程序時,會提前通知那些使用OpenSSL流行加密包的Linux和Unix操作系統發行商。
OpenSSL項目決定,附有OpenSSL的操作系統發行商會在修正程序發布前收到通知——通過openssl-announce list電郵群收到通知,但不會提供問題的細節。
盡管OpenSSL項目的維護人員決定重要的漏洞有必要盡量“暗箱”處理,但他們也指出,嚴重的漏洞不應該成為長期秘密。OpenSSL項目的一個網帖表示,“OpenSSL漏洞被發現后,沉默期當在幾天幾星期以內,而不是幾個月幾年。”
OpenSSL項目稱,漏洞保密級別按嚴重程度分成3級。“低級別”問題——包括那些難以用做攻擊的漏洞——會在發布修正程序后及時公布,一般來說,是“立即”公布。這些問題常常會導致修復程序的發布,但由此而導致發布新版本的可能性不大。
“中度”問題包括應用程序崩潰,例如不太常見的DTLS(數據報傳輸層安全性)和涉及本地漏洞的缺陷。OpenSSL項目決定對這一類別的問題作內部處理,直至修復了問題后發布新版本時才會對外公布。
“嚴重”問題會被保密處理,直至所有受支持版本都發布了新版本,但OpenSSL項目自當“盡量將保密時間降至最低”,在漏洞存在被利用的風險或證據時尤其會這樣做。
有關公告的發布在細節上有一些特別的考慮;主要的一條是,發布安全修復程序的計劃會先行公布(連同其嚴重程度),會發帖將具體日程公布在OpenSSL主頁上,但修復的性質在修復程序發布前不會公開。
但是,“如果更新中包括十分嚴重性的問題,我們也會提前就更多的細節和補丁發出通知”,基本的考慮是,需額外通知用戶,使用OpenSSL的操作系統需要幾天的時間來給最終用戶準備程序包以及提供測試反饋。
OpenSSL項目稱不希望預先通知成為營銷噱頭,OpenSSL的一個網帖表示,“我們不能接受一些部門將預先通知說成一種競爭優勢的營銷手段。例如,‘如果你買了我們的產品/用我們的服務,你就會提前一個星期得到保護’這一類的說法是不可取的。”