漏洞禁运期 (Embargo)

漏洞禁运期（Embargo）是软件安全行业长期奉行的一项核心制度。当一个严重的安全漏洞被发现后，报告者、软件厂商和各大Linux发行版的维护者会达成一个保密协议，在数十天甚至几个月的"禁运期"内秘密开发、测试修复补丁，直到补丁完美准备就绪，才会对外公开漏洞细节并同步发布更新。

传统做法

• 报告者、软件厂商和发行版维护者达成保密协议。
• 在秘密的邮件列表中闭门造车地开发、测试修复补丁。
• 直到补丁完美准备就绪，才会对外公开漏洞细节（分配CVE并披露）并同步发布更新。

面临的挑战

在漏洞平行发现成为常态的今天，禁运期制度正面临名存实亡甚至彻底消亡的命运。Willy Tarreau一针见血地指出：“当其他人可以瞬间发现同样的东西时，隐藏它还有什么意义呢？”

新做法

对于像Linux内核这样每周都有发布的极其活跃的项目，最安全的做法是发现问题、迅速合并修复补丁、然后直接随着周更发布。公开透明地尽早暴露问题，利用社区的力量快速迭代，才是现代软件安全的真正出路。