脆弱性を発見したらどうするかについては、議論されてきました。

• 全面的な開示：攻撃者がすでに脆弱性や攻撃方法について知っており利用していることを前提に、全員に伝え公開します。
• 部分的な開示：開発提供ベンダーにのみ伝え、パッチを開発する時間を与え、ベンダーから開示してもらいます。
• 開示しない：脆弱性を見つけた場合は、可能な限り秘密にしておくことです。

通常であれば、部分的な開示が求められます。しかし、ベンダー側が対応する気がなく、もしくは非常に遅れ、ユーザーの対応次第でその脆弱性が避けられるのであれば、全面的に展開を呼び掛けることも選択肢の一つになってきます。