Dovresti annunciare tutte le vulnerabilità che ritieni esistano per i tuoi clienti, mentre rilasci le patch per loro. Puoi annunciarli pubblicamente ed emettere un CVE per migliorare la trasparenza e consentire agli auditor di dimostrare più facilmente la necessità di aggiornare il software, ma in genere dovresti embargo per un periodo di tempo dopo che la patch è stata rilasciata (per dare tempo ai tuoi clienti di applicare patch) .
Quando li annunci, è meglio farlo senza includere troppi dettagli; non includere un PoC (Prova del concetto). Spesso è sufficiente nominare la funzionalità generale che viene sfruttata (come l'analisi del file di configurazione, o una caratteristica particolare con cui il bug risiede), la classe di bug e il bug che ottiene un aggressore.
Devi tenere a mente ciò che stai cercando di realizzare rivelando. Volete dimostrare che state correggendo i bug di sicurezza e notificate i vostri utenti della loro esistenza, e spostate la potenziale responsabilità da voi stessi assicurando che qualsiasi professionista della sicurezza ragionevole sia a conoscenza dei vostri bug e della necessità di applicare patch a versioni particolari. Non vuoi dare agli attaccanti ulteriori munizioni contro i tuoi clienti.
Quindi, è probabile che dovresti annunciare bug trovati dai tuoi clienti e supporto, così come quelli trovati dal QA, ma solo dopo averli riparati. Non importa se vedi che un attaccante ha il bug; se il tuo software è importante, è molto probabile che le persone cattive abbiano molti bug che non conosci, poiché l'umore attuale è di riservare almeno un po 'di riserva nel caso in cui tu voglia fare qualcosa (piuttosto che soffiare tutti i tuoi bug al più presto come si trovano ad aggiungere alla tua botnet o qualsiasi altra cosa.
In breve, pubblica tutto, ma assicurati che le tue patch conducano i tuoi annunci pubblici entro un ragionevole periodo di tempo ed eviti di fornire specifiche che consentano agli scrittori di exploit.