[更新4/23/2014:在本文发布后,一份报告介绍了谷歌,而不是CodeNoMicon,可能主要负责预先释放患者的脆弱性。CodeNomicon也直接联系了我,称它没有揭示在4月7日之前NCSC-Fi以外的任何人。鉴于这些事态发展,我不再相信DECENOMICON或NCSC-FI主要负责。]

CVE-2014-0160的发现和披露,更好地称为Heartbleed,因为它被证券公司代码纳米的绰号绰号,以一种非常不寻常的方式来了。

安全专业人员有处理漏洞的过程。它需要对负责潜在易受攻击软件负责的团队进行沟通,这提示团队修补漏洞,发布更新并向用户披露详细信息。

负责任的用户将更新他们的软件以限制他们的曝光,而开发团队则与卡内基梅隆的计算机应急响应团队协调中心(CERT / CC)等权威为释放细节。

这就是它应该是如何工作的。但这并不是发生了困境的事情。

什么地方出了错?

这是有多乐观的公众:

那么,谁将支付损害?

一个人可能会假设Robin Seggelmann,程序员负责错误,或者Openssl项目对Heartbled负责。但问题更复杂。该软件是开源的,这意味着任何人都可以免费使用或修改,它包括几乎所有可想而知的责任的免责声明。即使Openssl或其贡献者负责,也没有深层口袋可以重新开始。努力工作的是志愿者。谁留下了赔偿?

商业软件的案例

Heartbleed可能导致或可能已经引起灾难性的伤害。即使没有确认的违规,修复它可能会花费数十亿美元。此外,受影响公司的客户可能会说,公司使用开源软件将它们放在风险上,这些客户可能需要赔偿。这是有兴趣的一些公司无法拒绝开源运动,以支持可以支付损害的既定软件公司,并为漏洞负责。

开源支持者,包括我,嘲笑那个想法。除了自由之外,开源软件还提供商业替代品的巨大优势。多年来,编程中的一些最聪明的思想在促进了高质量的开源项目,并及时为开源项目提供了高质量的更新,并为发现后的漏洞或分钟提供了修复,防止了广泛的开发。这些项目对于互联网的运营至关重要。

这留下了我们在哪里?

两党在存在两年后,两党发现了一个错误是奇怪的。如果它在Google和OpenSSL项目之间负责任地处理,则该漏洞将被修补,并且openssl 1.0.1g将在没有事件的情况下发布。虽然仍有必要更新服务器,更改密码和撤销SSL证书,但令人耳目一糟的是由于代码纳米的参与而导致了Pandemonium。许多人不知道证书/ CC已发表至少10个脆弱性以来的漏洞。漏洞发生。最小化曝光程度的关键是它们处理的快速和透明度。

令人讨厌的原因导致这种恐慌与开源界无关,而是,相反,CodeNomicon发现谷歌,OpenSSL项目和其他负责任各方试图协调回应的漏洞。这导致了Heartbleed的商业化。

据称通知的代码纳米和公司能够报告他们的公司如何在CVE出版物之前发现,并利用机会为其释放做好准备并使客户保持安全。事实上,CodeNomicon在注册Heartbleed.com宣传其发现的消息时创作了Hearlbleed。

在同时发现漏洞的两家公司更加不寻常的是,在没有与认识的开源项目的首先协调的情况下私​​下传播它的新闻。尽管存在异常,开源计划工作,并且可以依赖于释放高质量的软件,以负责任的方式释放高质量的软件,修复错误和修补程序漏洞,这些方式不会以风险为公众。

CISSP-ISSMP杰弗里里昂是黑莲通信的创始人,该公司是一个侧重于服务提供商和企业的解决方案。在@ddosguru的推特上,他可以随访。