Nell'eventualità di trovare una vulnerabilità di sicurezza nel mondo Linux, la procedura implicata sarebbe quella di segnalare la vulnerabilità ...
- ... agli sviluppatori o ai manutentori del pacchetto in un particolare sistema operativo.
- ... al team di sicurezza di quel particolare sistema operativo.
Quindi vengono eseguite le patch e vengono rilasciati CVE.
Sono curioso di sapere come funziona il reporting delle vulnerabilità open source nel mondo OSX? Gli sviluppatori rilasciano CVE se viene loro segnalato un problema di sicurezza?