Het kernteam van OpenSSL is van mening dat de beveiligingsadviezen niet bedoeld zijn voor concurrentievoordeel. Daarom publiceert het voor het eerst na de Heartbleed-crisis richtlijnen bij het omgaan met gaten en lekken. De belangrijkste conclusie: kritieke gaten, zoals kwetsbaarheden die remote code execution toestaan, worden voortaan onder de pet gehouden door de open source club.

Idealiter nog een maand nadat de betreffende patch is uitgebracht. Wanneer er zo'n update uitkomt kan dat wel worden opgemaakt uit de OpenSSL-mailinglist, maar "meer informatie over de kwestie zal niet worden gegeven", schrijft het team. Zij willen op deze manier getroffen organisaties helpen om zichzelf van genoeg mankracht en tijd te voorzien om zo'n lek te bestrijden.

Geen marketingtool

Organisaties die in vertrouwen worden genomen en worden ingelicht en daarna deze info toch lekken aan anderen, krijgen daarna überhaupt geen informatie meer.

Ook blijken er niet nader genoemde organisaties misbruik te maken van de beveiligingsadviezen van OpenSSL voor eigen gewin, zo benadrukt het team. "Het is onacceptabel dat organisaties onze vooraankondiging gebruiken als marketingtool voor concurrentievoordeel. Denk bijvoorbeeld aan: "als je ons product/service had gebruikt was je al een week langer beschermd."

Eén van die organisaties is securitybedrijf en distributienetwerk CloudFlare, dat begin april exact die woorden gebruikte in een blogpost.

Lees meer over de chaotische onthulling van één van de meest kritieke kwetsbaarheden ooit op Computerworld:

Heartbleed OpenSSL-gat: wie wist wat wanneer?