Door Anoniem: "Persoonlijk vind ik dat een bug best openbaar gemaakt mag worden zodra het gevonden is. Gelijke monniken, gelijke kappen. Iedereen, gebruikers, fabrikanten, beveiligers en criminelen zijn dan op de hoogte. "
Je wilt dus de tijd tussen disclosure en patching langer maken, en het risico daarmee groter ? Indien een bug wel al bekend is bij criminelen, dan lijkt het mij eveneens van belang om zo snel mogelijk te patchen, en dus als eerste de fabrikant in te lichten. Indien deze zijn verantwoordelijkheid niet neemt, dan kan je daarna met full disclosure komen.
Ok. Stel je vindt een bug. Je meldt het bij de fabrikant. Die gaat dat (hopelijk) oplossen. In de tijd dat jij het meldt bij de leverancier en dat deze met een patch komt zijn anderen niet op de hoogte. Deze lopen dus risico's zonder dat zij van die risico's op de hoogte zijn. Waarom gaat iedereen er vanuit dat criminelen deze bug niet allang gevonden zouden hebben?
Als iedereen tegelijkertijd op de hoogte wordt gebracht kan iedereen voor zichzelf bepalen wat het risico is. Misschien, omdat je de details van de bug weet, kun je wat instellingen veranderen waardoor je minder of zelfs helemaal niet meer vatbaar bent.
Bij "responsible" disclosure moet de rest van de wereld maar wachten op een patch voor iets waarvan ze niet eens op de hoogte zijn dat het stuk was.