A raíz de Heartbleed, el proyecto OpenSSL ha decidido que las distribuciones de Unix que utilizan el popular paquete de cifrado recibirán una notificación previa de las próximas soluciones a fallos relacionados con la seguridad.

El proyecto ha decidido que las distribuciones que se incluyen con OpenSSL obtendrán cierta información previa sobre temas relacionados con las correcciones, un anuncio en la lista openssl-announce, pero no los detalles de cuestiones específicas.

Mientras que los responsables del proyecto han decidido que los errores críticos deben ser tratados "a puerta cerrada" en la medida de lo posible, también señalan que las vulnerabilidades críticas no deben permanecer en secreto por mucho tiempo: "los problemas de OpenSSL deben medirse en días y semanas, no meses o años ", afirma el mensaje.

El nivel de secreto alrededor de una falla será determinado en tres niveles de gravedad.

Los fallos de "baja gravedad" que incluyen ataques difíciles de explotar serán anunciados tan pronto como la solución sea publicada, en general de forma inmediata, y si bien pueden desencadenar correcciones de errores, probablemente no darán lugar a nuevas versiones.

Los fallos de "gravedad moderada" incluyen bloqueos de la aplicación, fallas en los protocolos comunes como DTLS (datagram transport layer security) y exploits locales. Estos, de acuerdo al proyecto, se mantendrán en secreto hasta que un nuevo lanzamiento de correcciones.

Fallos de "alta gravedad" se mantendrán en privado hasta un nuevo lanzamiento de todas las versiones soportadas, con el compromiso del proyecto de "mantener en secreto estos fallos por un tiempo mínimo", en particular, si hay riesgo o evidencia de que una vulnerabilidad está siendo explotada.

Lo anterior se interrelaciona con la política de notificación: sobre todo cuando se planea el lanzamiento de un parche de seguridad que será anunciado (junto con su nivel de gravedad) y el calendario publicado en la página principal de OpenSSL, pero la naturaleza de la solución no será pública hasta que se tenga el parche.

Sin embargo, "para actualizaciones que incluyan cuestiones de gravedad alta también vamos a prenotificar con más detalles y parches", tomando como base que los sistemas operativos que utilizan OpenSSL necesitarán un aviso adicional de unos días extra para preparar los paquetes para los usuarios finales y proporcionar información de prueba.

El proyecto señala que no quiere que la notificación previa se convierta en un gancho de marketing: "No es aceptable que las organizaciones utilicen las notificaciones avanzadas en el marketing como una ventaja competitiva. Por ejemplo 'si hubiera comprado nuestro producto/utilizado nuestro servicio usted habría estado protegido hace una semana'", señala la publicación.