La información de vulnerabilidades será celosamente guardada hasta que los parches estén listos, según el proyecto OpenSSL.

Los avisos de seguridad de OpenSSL no deben ser usados para ganar ventaja competitiva, dijo el proyecto de desarrollo detrás del famoso componente de criptografía.

La advertencia viene desde el proyecto OpenSSL, el cual publicó por primera vez directrices de cómo se manejan internamente los problemas de seguridad, parte de un esfuerzo continuo para fortalecer el proyecto después de la brecha de seguridad Heartbleed en abril pasado.

Vulnerabilidades de gran severidad, como ejecución remota de código, deberían mantenerse privadas para el equipo de desarrollo de OpenSSL, idealmente por un lapso no mayor a un mes, hasta que la actualización esté lista.

Si una actualización es planeada, se enviará una notificación a la lista de correo de OpenSSL pero "no se revelará más información acerca de los problemas" mencionaron.

Algunas organizaciones que desarrollan sistemas operativos de propósito general, en los que se incluye OpenSSL, pueden ser previamente notificados con mayor detalle acerca de los parches en función de tener algunos días de preparación. El proyecto OpenSSL advirtió que mientras más personas sean notificadas, "mayor es el riesgo de que una fuga ocurra".

Si la información acerca de alguna vulnerabilidad es filtrada, es más probable que algún atacante deduzca el flujo de información de un software y lance ataques antes de que dichos productos puedan ser parchados.

El proyecto OpenSSL ha advertido que "no es aceptable que las organizaciones utilicen esta información como estrategia de mercado para tener ventaja competitiva".