In de jaren '90 was er een groep die fel voorstander was van direct openbaren van gevonden kwetsbaarheden, met als onderbouwing daarvoor dat als je dat niet deed bedrijven hun kwetsbaarheden doodleuk niet oplosten (dat was toen inderdaad maar al te vaak zo) en dat ook bij het grote publiek onbekende kwetsbaarheden een risico zijn omdat een kwaadwillende die ook ontdekt kan hebben. Vanuit de softwarebedrijven, en het kan zijn dat het Microsoft is geweest, is toen het voorstel gekomen om het te melden maar toch voor het grote publiek tijdelijk stil te houden, omdat het openbaren ervan juist die kwaadwillenden op een presenteerblaadje geeft waar ze naar zoeken; maar om het na een termijn wel te openbaren, zodat er wel druk was op de softwarebedrijven om hun shit te repareren. Dat compromis, "responsible disclosure", is de norm geworden. De situatie rond libxml2 is interessant omdat het juist de maker van een stuk software is die hetzelfde drukmiddel gebruikt, met eigenlijk precies dezelfde motivatie als ...