<div dir="ltr">Hello,<div><br></div><div>When looking a the latest security announcement, something that I notice is that it's hard to find the actual commits that fixed an issue. If you search <a href="http://git.openssl.org">git.openssl.org</a> you can find some of them if they are mentioned in the change message, but it still requires some active effort.</div><div><br></div><div>Would it be a good idea for openssl to publish the commit(s) that fixed each CVE? It would make it easier to see what changed, which is great for</div><div>a.) backporting.</div><div>b.) satisfying curiosity of armchair cryptographers.</div><div>c.) better assessing an issue.</div><div><br></div><div>Cheers,</div><div><br></div><div>Ethan</div></div>