Dat was de vraag die zaterdag centraal stond tijdens een bijeenkomst voor beveiligingsdeskundigen aan de Stanford University Law School, zo meldt SecurityFocus. Dat softwaremakers van tevoren op de hoogte moeten worden gesteld van een lek en dat ze wat tijd moeten krijgen om het probleem te verhelpen, daarover waren alle aanwezigen het wel eens. Over het openbaarmaken van exploits (codes om een veiligheidslek te gebruiken) was meer discussie. Sommige veiligheidsdeskundigen vinden dat het erbij hoort, terwijl anderen menen dat er te grote gevaren kleven aan de publicatie van kant-en-klare codes.

Slammer

Bugjager David Litchfield van NGS Software is bijvoorbeeld opgehouden met de publicatie van exploits nadat één van zijn codes begin dit jaar werd gebruikt voor het maken van de Slammer-worm. Len Sassaman van Anonymizer vindt daarentegen dat het publiceren van exploits noodzakelijk is om softwaremakers onder druk te zetten om een patch (reparatiesoftware) uit te brengen. Bovendien gebruiken veel mensen de exploits om uit te vinden hoe ze hun netwerk kunnen beschermen of om te bekijken of een patch wel werkt. De discussie over het publiceren van lekken en de bijbehorende exploits, is niet van vandaag of gisteren. In 2001 sprak Microsoft zich al eens uit tegen uitgebreide publicaties over nieuwe softwarelekken.