Beveiligingsonderzoekers en software ontwikkelaars hebben vaak een moeilijke verstandhouding. De onderzoekers willen dat gevonden lekken zo snel mogelijk gedicht worden, terwijl de ontwikkelaars juist meer discretie van de onderzoekers eisen.

Veel onderzoekers kiezen vandaag de dag voor 'responsible disclosure', waarbij een beveiligingslek eerst aan de aanbieder of ontwikkelaar wordt gemeld, en pas als er een patch beschikbaar is, bekend wordt gemaakt. Een groot verschil met de 'full disclosure' methode, waar onderzoekers een lek wereldkundig maken zonder de ontwikkelaar in te lichten, die vaak dan snel met een oplossing moest komen, omdat klanten anders gevaar lopen.

Onderzoekers zijn namelijk van mening dat ontwikkelaars anders niet luisteren of een lek pas dichten als het hen uitkomt. En dat gaat er volgens veel onderzoekers nu mis. Hoewel zij zich houden aan het op verantwoorde wijze onthullen van beveiligingsproblemen, krijgen ze geen feedback van de ontwikkelaars. Er wordt niet verteld wanneer men van plan is het probleem op te lossen en vaak krijgt men helemaal niets te horen.

De angst bestaat dat onderzoekers straks weer terugvallen op full disclosure omdat ontwikkelaars ze niet voldoende respect en erkenning geven en te weinig communiceren. "Er is niets frustrerender om in goed vertrouwen een aanbieder te helpen zijn produkt te beveiligen, en dan niets terug te horen" zegt Terri Forslof van TippingPoint.

Software aanbieders moeten daarom met protcollen komen om met beveiligingsonderzoeker te communiceren, zo hebben verschillende experts voorgesteld.

Volgens de security chef van Cisco is dat lastig, omdat zij juist zo min mogelijk aandacht aan beveiligingsproblemen willen geven: "We kunnen ongewenste aandacht genereren op iets dat onze klanten kan schaden. Als we weten dat er een kwetsbaarheid is, proberen we er verder geen ruchtbaarheid aan te geven" aldus John Stewart.