鉴于今年早些时候暴露的心脏出血漏洞的不利影响，OpenSSL项目发布了其第一个安全策略，详细解释了项目如何处理安全问题。

根据该战略，该项目将安全问题分为三类：高、中、低。

为了获得高评级，我们必须利用OpenSSL的常见配置，例如发起拒绝服务攻击、内存泄漏或远程代码执行。向项目汇报时，策略声明这个问题在OpenSSL开发团队中保持私有，并提供了Linux和BSD发行版的一些细节和补丁，以便他们为用户准备包并提供反馈。

这些[高严重性]问题将保持私密状态，并将触发所有受支持版本的新版本。'.'我们将尽量把这些问题减少到最低限度。我们的目标将不再是我们控制下的问题。如果存在重大风险，或者我们意识到我们正在利用这个问题，我们的目标会更快。"

如果版本泄露问题或未能以反馈、测试结果或更正的形式“增加价值”，OpenSSL项目保留撤销未来问题通知的权利。

对于被认为中度严重的问题，它将保持私有，并滚动到下一个OpenSSL版本，该版本旨在修复许多此类问题。

严重性较低的问题将在项目的开发分支中立即修复，并可能返回到旧的和支持的OpenSSL版本。该政策称，它们不会导致新的发行。

尽管致力于维护安全问题的透明度，但OpenSSL表示，关键是在修复准备就绪之前对问题保密。

他说，你告诉的人越多，泄密的可能性就越大。在OpenSSL和其他项目之前，我们都看到了这一点。'

该项目表示，过去曾尝试使用CPNI、oCERT或CERT/CC等第三方来处理问题通知，但都不适用。

该政策称：“快速解决OpenSSL安全问题符合整个互联网的最佳利益。“OpenSSL禁运应该以天和周来衡量，而不是以月或年来衡量。”

OpenSSL拒绝用户可以为提前通知问题付费的概念。

该项目表示：“组织将提前通知作为营销中的竞争优势是不可接受的。”

“我们坚信，推广补丁/信息的权利不应以任何方式基于论坛的付费成员。”