Considere un proyecto de código abierto que está en continuo desarrollo. Durante el desarrollo, en su trabajo diario, ocasionalmente encuentra algunos problemas por su cuenta. También hay usuarios de su biblioteca que reportan problemas.
Si se publica un aviso de seguridad: ¿qué defectos se incluirán en el aviso? ¿Solo los reportados desde el exterior? ¿O también los que descubres por tu cuenta?
¿Hay referencias / guías para este tema?
Editar: No estoy preguntando cómo hacer una divulgación responsable cuando encontré un problema en otra biblioteca. El núcleo de la pregunta es si también se publicarán los problemas en un aviso que no se informó desde el exterior, pero que se encontró durante su trabajo diario en su software.