当第一次传出令人心血的臭虫的消息时，新闻像火警一样传播——但传播并不均匀。该漏洞在每三台服务器中传播多达2台，这使得标准披露成为不可能的。像Facebook这样的公司很早就收到了消息，要么是谷歌，要么是OpenSSL，周一的消息传出时，这些公司已经被修补了。其他一些人，如亚马逊和雅虎，都在争抢保护自己。但是为什么有些公司在其他公司陷入冷境时会提前发出警告呢？雅虎被排除在圈子之外时，Facebook是如何发现的？

“反垄断法不妨碍。”

从某种角度看，这似乎是在挑选最受欢迎的人——以至于联邦贸易委员会（FTC）今天上午发表了一份声明“明确表示，反垄断法不妨碍合法分享网络安全威胁信息。”但在行业内分享这些信息有一个复杂的礼仪，通常被称为“负责任的披露”。这个想法是在漏洞成为公共知识之前与服务提供商共享漏洞，这意味着区分好人和坏人。在一个完美的世界里，在一个坏人有机会攻击之前，你应该让所有的好人都知道。但就像任何秘密一样，每一个新的内幕人士都增加了消息泄露的风险。最坏的情况是心血泄漏到一个黑帽论坛，在那里消息将首先传播给攻击者。在某一时刻，研究人员不可避免地认为泄漏的风险太大，他们别无选择，只能提前公布泄漏情况。

每一位新的内幕人士都增加了消息泄露的风险

心碎了，就是这样。上周早些时候，内容分发网络CloudFlare的一位安全工程师从一位朋友那里收到了一条令人震惊的消息：尽快将您的PGP加密密钥发送给我。只有建立了一个安全的渠道，签订了保密协议，他才能分享令人心碎的惊人消息。在那之后，真正的工作就可以开始了。

尽快把你的PGP钥匙寄给我

在消息泄露之前，Facebook也收到了类似的消息，并修补了其服务，但到了周一，OpenSSL项目变得紧张起来。根据《华尔街日报》的一篇报道，是芬兰网络安全局发出警告，才迫使披露此事。没有人知道是谁告诉了该机构，因此OpenSSL别无选择，只能假设秘密已经泄露，并发布公共安全咨询，直接提醒所有受影响的客户。这让很多人束手无策，包括亚马逊（Amazon）和雅虎（Yahoo）等巨头，它们只能争先恐后地进行更新。就连谷歌的一些辅助服务也被这一消息弄得措手不及，原因很简单，工程师们不能冒险把这个秘密传播到公司的每个角落。

他们能处理得更好吗？

他们能处理得更好吗？即使是现在，许多人仍持怀疑态度。”CloudFlare首席执行官马修•普林斯（Matthew Prince）表示：“这是一个很难概括的案例。”如果漏洞只存在于一家公司，那么很容易进行负责任的披露，但当它影响到所有这些不同的服务时，就真的很难了。“披露必须平衡潜在的危害和泄露的可能性，只接触具有极大预防性的可信来源。

这种披露没有路线图

虽然雅虎用户肯定感到自己在早期披露中被拒之门外，但许多人认为谷歌和OpenSSL项目是正确的，将CloudFlare和Akamai等内容分发网络作为优先事项。”CDN尤其需要在这一点上得到一个快速的突破，”ICSI的NicholasWeaver说，“因为有人可以在服务器上使用这个，窃取服务器的私钥，而你永远不知道他们有它。”这些私钥攻击比雅虎登录不那么明显，但影响到更多的人。尽早关闭这些渠道可能会防止道路上的巨大损失。

最后，这种披露没有路线图，因为以前从来没有出现过这么大的问题。秘密修复漏洞意味着设定优先顺序，选择哪些公司加入，哪些公司不加入，而且总是有理由对这些决定进行二次猜测。但随着网络的发展，这是一个行业可能需要再次面对的问题。