欧洲精品一区二区三区,伊人333,欧美国产激情二区三区

OpenSSL承諾出問題時提前通知開發(fā)商送沙包堵漏洞

責編：admin ｜2014-09-12 09:51:25

　　鑒于前不久冒出來的Heartbleed漏洞，OpenSSL項目決定，OpenSSL發(fā)布安全相關(guān)的修正程序時，會提前通知那些使用OpenSSL流行加密包的Linux和Unix操作系統(tǒng)發(fā)行商。

　　OpenSSL項目決定，附有OpenSSL的操作系統(tǒng)發(fā)行商會在修正程序發(fā)布前收到通知——通過openssl-announce list電郵群收到通知，但不會提供問題的細節(jié)。

　　盡管OpenSSL項目的維護人員決定重要的漏洞有必要盡量“暗箱”處理，但他們也指出，嚴重的漏洞不應(yīng)該成為長期秘密。OpenSSL項目的一個網(wǎng)帖表示，“OpenSSL漏洞被發(fā)現(xiàn)后，沉默期當在幾天幾星期以內(nèi)，而不是幾個月幾年。”

　　OpenSSL項目稱，漏洞保密級別按嚴重程度分成3級。“低級別”問題——包括那些難以用做攻擊的漏洞——會在發(fā)布修正程序后及時公布，一般來說，是“立即”公布。這些問題常常會導(dǎo)致修復(fù)程序的發(fā)布，但由此而導(dǎo)致發(fā)布新版本的可能性不大。

　　“中度”問題包括應(yīng)用程序崩潰，例如不太常見的DTLS（數(shù)據(jù)報傳輸層安全性）和涉及本地漏洞的缺陷。OpenSSL項目決定對這一類別的問題作內(nèi)部處理，直至修復(fù)了問題后發(fā)布新版本時才會對外公布。

　　“嚴重”問題會被保密處理，直至所有受支持版本都發(fā)布了新版本，但OpenSSL項目自當“盡量將保密時間降至最低”，在漏洞存在被利用的風險或證據(jù)時尤其會這樣做。

　　有關(guān)公告的發(fā)布在細節(jié)上有一些特別的考慮；主要的一條是，發(fā)布安全修復(fù)程序的計劃會先行公布（連同其嚴重程度），會發(fā)帖將具體日程公布在OpenSSL主頁上，但修復(fù)的性質(zhì)在修復(fù)程序發(fā)布前不會公開。

　　但是，“如果更新中包括十分嚴重性的問題，我們也會提前就更多的細節(jié)和補丁發(fā)出通知”，基本的考慮是，需額外通知用戶，使用OpenSSL的操作系統(tǒng)需要幾天的時間來給最終用戶準備程序包以及提供測試反饋。

　　OpenSSL項目稱不希望預(yù)先通知成為營銷噱頭，OpenSSL的一個網(wǎng)帖表示，“我們不能接受一些部門將預(yù)先通知說成一種競爭優(yōu)勢的營銷手段。例如，‘如果你買了我們的產(chǎn)品/用我們的服務(wù)，你就會提前一個星期得到保護’這一類的說法是不可取的。”