Das OpenSSL-Projekt warnt konkurrierende Hersteller davor, Verwundbarkeiten als Marketinginstrument einzusetzen
Das OpenSSL-Projekt veröffentlichte ersmals eine Richtlinie für den Umgang mit Schwachstellen. Darin wird unter anderem festgehalten, dass das Projekt bei der Fehlerbeseitigung keine Vorteile gegen Bezahlung gewähren will. Für die interne Verfahrensweise werden die Verwundbarkeiten in Klassen eingeteilt. Weniger schwere Vorfälle, die etwa nur die Kommandozeilentools betreffen oder unwhrscheinliche Konfigurtionen oder schwer ausnutzbare Timing-Probleme werden im nächsten Development-Release korrigiert und danach gegebenenfalls zurückportiert. Mittelschwere Vorkommnisse, die beispielsweise Abstürze des Clients zur Folge haben können oder Fehler in seltener benutzten Protokollen wie DTLS werden bis zum nächsten Release vertraulich behandelt. Schwere Fehler, die häufig verwendete Einstellungen betreffen und wahrscheinlich ausbeutbar sind (etwa Memory Leaks, Remote Code Execution), werden vertraulich behandelt und triggern zusätzlich unmittelbar ein neues Release aller unterstützten Versionen.
Updates, die Sicherheitslücken schließen, sollen immer auf der OpenSSL-Announce-Mailingliste angekündigt werden. Weitergehende Informationen zu den Schwachstellen werden nicht gegeben.
