In hun voorstel dat de twee onderzoekers, Steve Christey en Chris Wysopal, hebben aangeboden aan de Internet Engineering Task Force ( IETF) pleiten ze voor strakke regels omtrent het opsporen en verhelpen van veiligheidsproblemen in software. Volgens Christey, werkzaam voor de non-profit organisatie Mitre, weet nu maar een handjevol ingewijden in de computerbeveiliging hoe ze precies om moeten gaan met veiligheidsproblemen. Voor de rest is het onduidelijk wat de beste procedure is die gevolgd moet worden. Op dit moment doet 'iedereen maar wat'. De tijd is volgens hem nu rijp om de vele ongeschreven regels te standaardiseren. Als er eenmaal een standaard op tafel ligt kan de hele software industrie er mee aan de slag. Christey en Wysopal, die werkzaam in de beveiligingsindustrie bij het bedrijf @Stake, hebben hun voorstel `Responsible Vulnerability Disclosure Process' genoemd en wachten op een officieel antwoord van de IETF.

Onduidelijkheid

Op dit moment bestaat er geen overeenstemming over hoe en wanneer veiligheidsproblemen kenbaar gemaakt moeten worden aan het publiek. De makers van de software willen dat ze voldoende tijd krijgen om een oplossing te vinden voor het probleem voordat de ontdekker(s) van de problemen naar buiten treden. Volgens de softwarehuizen kunnen aanvallers hun voordeel ermee doen als de informatie aan naar buiten gebracht is voordat een patch gereed is. Veiligheidsexperts daarentegen willen de informatie zo snel mogelijk naar buiten gebracht wordt. In deze situatie, full disclosure genoemd, worden de softwaremakers onder druk gezet om zo snel mogelijk met een oplossing te komen. In het voorstel van Christey en Wysopal moeten de ontdekkers van het veiligheidsprobleem zich houden aan bepaalde `verantwoordelijkheids'-regels bij het naar buiten brengen van de gevoelige informatie. De ontdekker brengt eerst de softwaremaker op de hoogte. Die krijgt binnen een bepaalde termijn (zeven tot tien dagen) de tijd om te reageren. De makers van de software moeten de ontdekkers van het probleem elke zeven dagen op de hoogte houden van hun vorderingen bij het vinden van een oplossing. Binnen een maand moet dan een definitieve oplossing op tafel liggen. Op deze manier wordt op die manier het risico voor de gebruikers tot een minimum beperkt, hebben de softwaremakers de tijd om de problemen op te lossen en krijgen aanvallers niet alle kansen om misbruik te maken van het probleem.