压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　鑒于前不久冒出來(lái)的Heartbleed漏洞，OpenSSL項(xiàng)目決定，OpenSSL發(fā)布安全相關(guān)的修正程序時(shí)，會(huì)提前通知那些使用OpenSSL流行加密包的Linux和Unix操作系統(tǒng)發(fā)行商。

　　OpenSSL項(xiàng)目決定，附有OpenSSL的操作系統(tǒng)發(fā)行商會(huì)在修正程序發(fā)布前收到通知——通過(guò)openssl-announce list電郵群收到通知，但不會(huì)提供問(wèn)題的細(xì)節(jié)。

　　盡管OpenSSL項(xiàng)目的維護(hù)人員決定重要的漏洞有必要盡量“暗箱”處理，但他們也指出，嚴(yán)重的漏洞不應(yīng)該成為長(zhǎng)期秘密。OpenSSL項(xiàng)目的一個(gè)網(wǎng)帖表示，“OpenSSL漏洞被發(fā)現(xiàn)后，沉默期當(dāng)在幾天幾星期以內(nèi)，而不是幾個(gè)月幾年。”

　　OpenSSL項(xiàng)目稱，漏洞保密級(jí)別按嚴(yán)重程度分成3級(jí)。“低級(jí)別”問(wèn)題——包括那些難以用做攻擊的漏洞——會(huì)在發(fā)布修正程序后及時(shí)公布，一般來(lái)說(shuō)，是“立即”公布。這些問(wèn)題常常會(huì)導(dǎo)致修復(fù)程序的發(fā)布，但由此而導(dǎo)致發(fā)布新版本的可能性不大。

　　“中度”問(wèn)題包括應(yīng)用程序崩潰，例如不太常見(jiàn)的DTLS（數(shù)據(jù)報(bào)傳輸層安全性）和涉及本地漏洞的缺陷。OpenSSL項(xiàng)目決定對(duì)這一類別的問(wèn)題作內(nèi)部處理，直至修復(fù)了問(wèn)題后發(fā)布新版本時(shí)才會(huì)對(duì)外公布。

　　“嚴(yán)重”問(wèn)題會(huì)被保密處理，直至所有受支持版本都發(fā)布了新版本，但OpenSSL項(xiàng)目自當(dāng)“盡量將保密時(shí)間降至最低”，在漏洞存在被利用的風(fēng)險(xiǎn)或證據(jù)時(shí)尤其會(huì)這樣做。

　　有關(guān)公告的發(fā)布在細(xì)節(jié)上有一些特別的考慮；主要的一條是，發(fā)布安全修復(fù)程序的計(jì)劃會(huì)先行公布（連同其嚴(yán)重程度），會(huì)發(fā)帖將具體日程公布在OpenSSL主頁(yè)上，但修復(fù)的性質(zhì)在修復(fù)程序發(fā)布前不會(huì)公開(kāi)。

　　但是，“如果更新中包括十分嚴(yán)重性的問(wèn)題，我們也會(huì)提前就更多的細(xì)節(jié)和補(bǔ)丁發(fā)出通知”，基本的考慮是，需額外通知用戶，使用OpenSSL的操作系統(tǒng)需要幾天的時(shí)間來(lái)給最終用戶準(zhǔn)備程序包以及提供測(cè)試反饋。

　　OpenSSL項(xiàng)目稱不希望預(yù)先通知成為營(yíng)銷噱頭，OpenSSL的一個(gè)網(wǎng)帖表示，“我們不能接受一些部門(mén)將預(yù)先通知說(shuō)成一種競(jìng)爭(zhēng)優(yōu)勢(shì)的營(yíng)銷手段。例如，‘如果你買了我們的產(chǎn)品/用我們的服務(wù)，你就會(huì)提前一個(gè)星期得到保護(hù)’這一類的說(shuō)法是不可取的。