Una de las discusiones continuas en el área es qué hacer al descubrir una vulnerabilidad. Los hay quienes insisten que debe dar detalles completos del problema (incluso programas que aprovechan la vulnerabilidad en forma automática) como una manera de presionar a los proveedores para que corrijan las vulnerabilidades. Exponente saliente de esta tendencia es la lista de correo BugTraq . Esto tiene la lamentable consecuencia de poner en manos de personas inescrupulosas el equivalente de un arma cargada y con el seguro quitado. Se indica que el dar sólo los detalles de la vulnerabilidad sin demostrar su posible uso permitiría soslayar el problema, con lo que tienen razón. Sin embargo, el entregar una herramienta de penetración lista para ser usada es de dudosa ética, en mi opinión.
Otro extremo lo da CERT, cuya política es dar a conocer vulnerabilidades en términos muy generales, y ésto sólo una vez que el proveedor haya puesto una solución al problema.
En todo caso, las políticas de ambos están convergiendo, en que BugTraq solicita que sólo se publiquen las vulnerabilidades después de que esfuerzos serios para alertar al proveedor hayan resultado infructuosos, y después de que haya transcurrido un plazo razonable para que se encuentre una solución. CERT tiene ahora una política similar de publicar detalles de vulnerabilidades para las cuales el proveedor no haya dado solución en un plazo prudente.
Ambos mantienen extensas colecciones de reportes de vulnerabilidades y también resúmenes de vulnerabilidades más explotadas. Son recursos importantes para tener una visión general de los problemas y sus soluciones.