Debería anunciar todas las vulnerabilidades que cree que existen a sus clientes, a medida que libera parches para ellos. Puede anunciarlos públicamente y emitir un CVE para mejorar la transparencia y permitir a los auditores corroborar más fácilmente la necesidad de actualizar el software, pero generalmente debe embargarlos durante un período de tiempo después de que se emita el parche (para dar tiempo a los clientes a parchear) .
Cuando los anuncies, es mejor hacerlo sin incluir demasiados detalles; No incluye un PoC (Prueba de concepto). A menudo, es suficiente nombrar la funcionalidad general que se está explotando (como el análisis del archivo de configuración, o una característica particular en la que reside el error), la clase de error y el error que obtiene un atacante.
Debes tener en cuenta lo que intentas lograr al revelar. Desea demostrar que está solucionando errores de seguridad por encima del tablero y notificar a sus usuarios de su existencia, y desviarse de su responsabilidad potencial asegurándose de que cualquier profesional de seguridad razonable esté al tanto de sus errores y la necesidad de parchear versiones particulares. No desea dar a los atacantes municiones adicionales contra sus clientes.
Por lo tanto, es probable que deba anunciar los errores encontrados por sus clientes y soporte, así como los encontrados por QA, pero solo después de parchearlos. Realmente no importa si ves que un atacante tiene el error; Si su software es importante, es probable que las personas desagradables tengan muchos errores que usted no conoce, ya que el estado de ánimo actual es mantener al menos algunos en reserva en caso de que quiera hacer algo (en lugar de eliminar todos sus errores tan pronto como sea posible). ya que se encuentran para agregar a su botnet o lo que sea).
En pocas palabras, publique todo, pero asegúrese de que sus parches guíen sus anuncios públicos por un período de tiempo razonable, y evite dar detalles que permitan a los escritores de exploits.