Hay una cosa que no entiendo. Encontré un proyecto en Github. Mirando la lista de confirmaciones, puede ver cosas como "XSS corregido en cualquier archivo, etc.". Pero ese compromiso es parte de una larga lista de confirmaciones que se hicieron después de la última versión pública. Así que esa vulnerabilidad es básicamente pública (todos pueden buscarla en Github), y el parche no se ha publicado (se incluirá en la próxima versión pública). Para mí, en la práctica suena como una vulnerabilidad de día cero está disponible, aunque en teoría supongo que ya pasó el "día cero".
Entonces, ¿cómo debería administrar el código en Github sin filtrar información sobre las vulnerabilidades de esa manera? ¿Existe alguna práctica recomendada o una forma común aceptada de mitigar este problema?