Due settimane fa ho segnalato una vulnerabilità a una mailing list di sicurezza di una grande organizzazione di software open source. Ho fornito dettagli su come riprodurre il problema e il luogo esatto nel codice in cui si trova il bug che causa la vulnerabilità. Finora non ho ancora ricevuto alcuna risposta. Ho anche scritto a uno dei principali sviluppatori chiedendo se è stato reso consapevole del problema. Finora non c'è stata alcuna risposta da parte sua.
Il componente su cui si basa la vulnerabilità non è stato rilasciato da anni, anche se c'è ancora qualche sviluppo in corso ed è ancora ampiamente utilizzato.
È normale che il feedback duri così a lungo? Cosa dovrei fare al riguardo?