Priežasčių yra net keletas. Visų pirma - „OpenSSL“ yra atviro kodo projektas, kurio biudžetas 2013 metais nesiekė 1 mln. JAV dolerių. Jam vadovauja keturi europiečiai programuotojai – iš jų tik vienas su „OpenSSL“ dirba visą darbo dieną. Esant tokiam darbuotojų kiekiui, sunku tikėtis, kad kiekviena programinio kodo eilutė bus išnarstyta iki smulkiausių siūlelių.
„Heartbleed“ vardu pakrikštyta „OpenSSL“ klaida gimė vienam programinės įrangos kūrėjui iš Vokietijos pasiūlius kodo atnaujinimą. Deja, jame buvo viena labai paprasta, bet nesunkiai pražiopsoma klaida. „OpenSSL“ projekto prievaizdas, priėmęs atnaujinimą, taip pat klaidos nepastebėjo. O jeigu JAV Nacionalinė saugumo agentūra NSA nemeluoja, tai per vėlesnius dvejus metus šios klaidos nepastebėjo apskritai niekas. Nors įtakingas leidinys „Bloomberg“ rašo, kad NSA šią klaidą patys buvo ne tik atradę, bet ir aktyviai ja naudojosi ne vienerius metus.
Antra priežastis, dėl kurios galima pateisinti „Heartbleed“ ilgalaikį neatradimą, yra tai, jog saugumo skylių ir programų klaidų prigimtis ir apraiškos iš esmės skiriasi. Dauguma klaidų natūraliai krenta į akis jeigu žmonės naudojasi netobula programine įranga. Ir kuo klaida dažniau pasireiškianti arba kuo jos apraiškos rimtesnės, tuo greičiau jos pastebimos ir ištaisomos, rašo vox.com.
Tuo tarpu saugumo skylės natūraliai neišaiškėja. Vienintelis būdas jas pastebėti – aktyviai jų ieškoti. Ir tai gali nutikti vienu iš dviejų būdų. Jeigu saugumo ekspertai skylę randa pirmieji, jie paprastai sukuria ir skylės užtaisymo priemonę – tik tuomet viešinama informacija apie skylę, kartu su klaidą ištaisančiais įrankiais. Bet jeigu pirmieji rasti skylę suskumba piktavaliai programišiai, pasekmės gali būti katastrofiškos.
Taikant įprastinį atviro kodo programų modelį projekto autoriai laukia, kol apie klaidas praneš jas aptikę paprasti vartotojai. Tuo tarpu norint rasti saugumo skyles anksčiau už tuos, kurie jas panaudotų savanaudiškai, reikalingi aktyviai tų skylių ieškantys žmonės. Ir nors daugelis IT darbuotojų supranta tokio saugumo audito svarbą, tačiau šiuo atveju vėl atsiremiama į atviro kodo projektų mažo biudžeto kliūtį – pinigų, už kuriuos būtų galima sumokėti saugumo ekspertams nėra.
