Vertreter der Software-Industrie fordern, dass ihnen eine längere Reaktionszeit zugestanden wird. Sie setzen sich für ein als "responsible disclosure" bezeichnetes Vorgehen ein, bei dem zunächst nur der Hersteller über eine bestehende Lücke informiert wird, während die Öffentlichkeit erst davon erfährt, wenn eine angemessene Wartezeit vergangen ist, in der der Hersteller ein Patch entwickeln konnte.
"Fehler werden oft nicht beseitigt, solange sie nicht öffentlich werden", hält Chris Wysopal, Gründer des Security-Unternehmens Veracode dagegen. "Es ist zwar verantwortungsbewusst, wenn man den Hersteller benachrichtigt, der Prozess kommt dann allerdings zum Stehen. Bevor der Hersteller nicht die Drohung hat, dass der Fehler öffentlich gemacht wird, passiert nichts."
