米国家安全保障局(NSA)では発見したソフトウェアの脆弱性のほとんどを公表するが、状況によっては公表せず情報収集に利用することをマイケル・ロジャーズ局長が明らかにした(Threatpostの記事、 本家/.)。

ロジャーズ局長は、発見した脆弱性を基本的に公表するようオバマ大統領から指示されたそうだ。ただし、NSAでは米国内のネットワークを守る一方で、時には発見した脆弱性を利用してでも国外のネットワークから情報収集する必要がある。オバマ大統領もこの二面性は理解しており、脆弱性情報を公表しない状況について説明したという。そのため、NSAでは脆弱性による影響の大きさや、他国が発見する可能性、脆弱性を利用せずに情報収集する方法があるかどうかといった要素を考慮して脆弱性を公表するかどうかを決めているとのこと。

なお、NSAが以前からHeartbleed脆弱性の存在を認識しており、情報収集に利用していたとする噂については改めて否定。NSAがHeartbleed脆弱性を認識したのは4月7日のことであり、4月8日にはパッチを作成して民間と共有したとのことだ。