Il modo "normale" di fare le cose è:
- Chiunque trovi la falla contatta il venditore.
- Il venditore crea la patch e la pubblica, spingendola ai clienti con una descrizione vaga ma spaventosa ("risolve un difetto che consente l'esecuzione di codice in modalità remota").
-
Alcune settimane più tardi , i dettagli sono pubblicati. Se tutto è andato bene, lo scopritore iniziale effettua la pubblicazione, in pieno accordo con il venditore, in modo da attribuire i crediti dovuti; e il venditore aggiunge un collegamento ai dettagli della pubblicazione nella propria documentazione.
Ad esempio, questo è quello che è successo con il difetto correlato a SSL "CRIME": i produttori di browser sono stati avvisati con diverse settimane di anticipo e hanno inviato patch. Occasionalmente, la descrizione vaga può essere sufficiente per alcune persone per indovina cosa sta succedendo qualche giorno prima della pubblicazione effettiva. La danza è una questione di delicatezza, specialmente con il software opensource, perché la patch codice sorgente è spesso abbastanza rivelatrice circa la natura esatta del problema.
Un lato psicologico del problema è che i cacciatori di vulnerabilità sono una folla difficile che può reagire, a volte, in modi emotivi un po 'scaldati, se ritengono che i venditori non reagiscano in modo appropriato o abbastanza veloce. I produttori di software preferiscono di solito mantenere segreti i difetti, ma se devono accettare la pubblicazione, allora, almeno, preferiscono avere un avvertimento in anticipo. Il baratto di "crediti dovuti per preavviso preventivo" è un accordo che ha un'alta probabilità di convincere la maggior parte dei cacciatori di bug non a spingere immediatamente l'exploit sui canali pubblici, quindi i produttori di software supporteranno questo "modo normale" ".
In definitiva , quando la polvere si è stabilizzata, tutti i dettagli dovrebbero essere pubblicati, perché la divulgazione completa è una grande base per la fiducia.