Cita: Originalmente Escrito por
trekyto
Todos los bugs de seguridad deben de hacerse públicos se les de o no tanta importancia para que se puedan corregir.
En realidad es al revés: los bugs deben ser notificados sólo al desarrollador, que es quien puede corregirlos. Si se hacen públicos, el más agradecido será el atacante que se aproveche de algún bug.
Pasados unos días (normalmente 90) para que el desarrollador elimine el bug, se puede hacer público para que los afectados decidan si aceptan el riesgo o dejan de usar ese software o servicio... lo que no siempre es posible.
La mayor parte de las veces, en esos 3 meses el desarrollador habrá solucionado el problema, él mismo lo habrá hecho público (citando al descubridor del problema) y también habrá publicado la forma de evitarlo, a menudo mediante una actualización de su software o servicio. Entonces los usuarios ya no tendrán que tomar la decisión más drástica, sólo aplicar esa actualización.