Использовала ли GAE когда-либо OpenSSL для своих внешних серверов? Это довольно интересно в контексте дыра в безопасности Heartbleed. Было бы неплохо получить подтверждение от Google, что никаких рисков нет.
Как уже упоминалось в комментарии по данным Google Online Security Blog App Engine был затронут.
А патч была написана и, как я полагаю, применялась к службам Google 21 марта, задолго до того, как уязвимость стала достоянием общественности.
Предполагая, что никто не знал об этой ошибке до 21 марта, дальнейшие действия не требуются. Поскольку вы не можете быть полностью уверены, что лучший способ обеспечить безопасность сервиса - это следовать этому контрольному списку.
Есть еще хорошие новости. App Engine поддерживает прямую секретность. Эта функция смягчает атаки, делая невозможным использование украденного ключа шифрования для чтения старых зашифрованных сообщений.