Selon l'éditeur, les bogues ne devaient être révélés « que dans le cas d'attaques actives... et juste avant qu'un correctif soit prêt à livrer, » comme l'avait déclaré à l'époque Dave Forstrom, directeur du Microsoft Trustworthy Computing Group. « Et même dans ce cas, cette divulgation doit être coordonnée aussi étroitement que possible. »  Aujourd'hui, Jerry Bryant a indiqué que « Microsoft se félicitait que ZDI ait choisi de révéler un minimum d'informations sur chaque vulnérabilité, diminuant la probabilité que des attaquants puissent mettre à profit ces éléments contre les utilisateurs. »

Des avis a minima et des solutions de contournement

Les avis publiés par TippingPoint ne précisent pas en effet comment un bug non corrigé peut être déclenché, mais ils fournissent des informations générales sur l'endroit où se trouve le bug, et dans de nombreux cas, donnent des solutions de contournement pour aider les utilisateurs à se protéger jusqu'à ce qu'un correctif soit publié. « Nous ne publions qu'une description générale de la vulnérabilité, et n'indiquons pas précisément où elle se trouve », a déclaré Aaron Portnoy, directeur de l'équipe de recherche en sécurité chez TippingPoint. « Nous livrons les mesures d'atténuation, certaines fournies par les vendeurs, d'autres par des chercheurs indépendants qui signalent les failles et d'autres encore apportées par notre propre équipe. Notre but est de fournir des solutions de contournement qui fonctionnent, peu importe d'où elles proviennent » a ajouté Aaron Portnoy. Parmi les 5 avis publiés par TippingPoint sur les failles trouvées dans les logiciels de Microsoft, tous contiennent des recommandations destinées à aider les utilisateurs à protéger leurs ordinateurs en attendant la livraison d'un correctif. Selon le responsable de TippingPoint, ce changement dans la politique de divulgation est un succès. « La réponse a été extrêmement positive, » a t-il affirmé, ajoutant que près de 90% des bugs signalés au programme depuis août dernier avait été corrigés dans le délai imposé de six mois. Selon lui, même Microsoft a « globalement bien accepté » le principe. « L'équipe qui travaille sur la sécurité des produits chez Microsoft a bien compris les motifs, et s'est dite très favorable, même si dans son ensemble l'entreprise n'apprécie plutôt guère, » a déclaré Aaron Portnoy, ajoutant que TippingPoint n'avait pas constaté de refus de la part des éditeurs à propos de ces délais.

Des dérogations, dans des cas précis

TippingPoint reconnait cependant avoir accepté d'allonger les délais pour certaines vulnérabilités affectant des logiciels de Microsoft, Apple et Sun Microsystems « pour diverses raisons, » selon Aaron Portnoy. La question du changement de propriété intellectuelle a été un facteur parmi d'autres qui a joué dans la décision concernant les bugs trouvés dans certains logiciels de Sun, acquis par Oracle l'année dernière. «Quand une nouvelle entreprise arrive, nous prolongeons le délai de six mois, » a déclaré le responsable de TippingPoint. Microsoft a pu, dans certains cas, bénéficier d'un sursis, notamment quand les bugs doivent être corrigés un peu plus tard dans le cadre des mises à jour de sécurité mensuelles effectuées par l'éditeur.