Considera un progetto open source in continuo sviluppo. Durante lo sviluppo, nel tuo lavoro quotidiano occasionalmente trovi alcuni problemi da solo. Ci sono anche utenti dei problemi di segnalazione della tua biblioteca.
Se un avviso di sicurezza deve essere pubblicato: quali difetti devono essere inclusi nell'advisory? Solo quelli riportati da extern? O anche quelli che scopri da solo?
Ci sono riferimenti / guide per questo argomento?
Modifica: sono non chiedendo come fare una divulgazione responsabile quando ho trovato un problema in un'altra libreria! Il nocciolo della domanda è se anche i problemi devono essere pubblicati in un advisory che non sono stati segnalati da esterni, ma trovati durante il tuo lavoro quotidiano nel tuo software.