Le sugiero que analice la forma en que la empresa maneja los informes de vulnerabilidad, así como su respuesta a dichos informes.
La empresa debe proporcionar una forma segura y privada para informar vulnerabilidades, como un correo electrónico de respuesta de seguridad dedicado y una clave PGP para el cifrado de informes, y deben proporcionar esto en una ubicación fácil de encontrar. Tampoco deben perseguir a las personas que encuentran estas vulnerabilidades y denunciarlas, como han hecho algunas empresas anteriormente.
Para los informes de incidentes, deben responder rápidamente, como guía dentro de las 48 horas posteriores al informe, a la persona que informó sobre la vulnerabilidad. Si es posible, debe publicarse un parche temporal CUANTO ANTES (como los FixIts de Microsoft), y luego se debe lanzar uno más permanente que elimine por completo la causa de la vulnerabilidad. La compañía también debe proporcionar una manera de mantener a sus clientes actualizados sobre los problemas de seguridad de sus productos, como una lista de correo, y mantenerlos actualizados periódicamente.