鉴于今年早些时候暴露的心脏出血漏洞的不利影响,OpenSSL项目发布了第一个安全策略,详细解释了项目如何处理安全问题。
根据这一战略,该项目将安全问题分为三类:高、中、低。
为了获得高评级,我们必须利用OpenSSL的常见配置,如发起拒绝服务攻击、内存泄漏或远程代码执行。当向项目报告时,政策声明这个问题在OpenSSL开发团队中仍然是私有的,并提供了Linux和BSD发行版的一些细节和补丁,以便他们可以为用户准备包并提供反馈。
这些[高严重性]问题将保持私密状态,并将触发所有受支持版本的新版本。我们将尽最大努力尽量减少这些问题。我们的目标将不再是我们控制下的问题。如果有重大风险,或者如果我们意识到我们正在利用这个问题,我们的目标会更快。'
如果版本泄露或未能以反馈、测试结果或更正的形式“增值”,OpenSSL项目保留撤销未来问题通知的权利。
对于被认为是中度严重的问题,它将保持私有,并滚动到下一个版本的OpenSSL,该版本旨在修复许多此类问题。
严重性较低的问题将在项目的开发分支中立即得到修复,并可能返回到OpenSSL的旧版本和受支持的版本。根据政策,它们不会导致新的发行。
虽然致力于维护安全问题的透明度,但OpenSSL表示,关键是要对问题保密,直到修复准备就绪。
他说,你告诉的人越多,泄露的可能性就越大。在OpenSSL和其他项目之前,我们都看到了这一点。'
根据该项目,过去曾尝试由CPNI、oCERT或CERT/CC等第三方处理问题通知,但均不适用。
政策称:“快速解决OpenSSL的安全问题,符合整个互联网的最佳利益。”OpenSSL禁运应该以天和周来衡量,而不是以月或年来衡量。"
OpenSSL拒绝用户可以为问题预先通知付费的概念。
该项目表示:“组织将提前通知作为营销中的竞争优势是不可接受的。”
“我们坚信,推广补丁/信息的权利不应以任何方式基于论坛的付费成员。”
标签:
免责声明:本文由用户上传,如有侵权请联系删除!