彭博社援引知情人士的消息称,美国国家安全局(NSA)至少两年前就知道了OpenSSL的高危漏洞Heartbleed,并且定期利用Heartbleed获取重要情报。NSA对此坚决予以否认, 称它也是直到今年4月才知道。彭博称,NSA决定保密的做法引发了争论,因为NSA的一个使命就是寻找漏洞。NSA和其它主要情报机构投入了数百万美元寻 找可能被用于窃取数据的常用软件漏洞,开源加密协议实现如OpenSSL是其主要目标。OpenSSL由缺乏资助的安全研究人员开发,相比之下NSA有超 过1000名专家使用先进的分析工具搜寻漏洞。知情人士称,NSA在漏洞加入到软件后不久就发现了它。
文章转载自开源中国社区 [http://www.oschina.net]
