Ruim een maand geleden dienden twee onderzoekers, Steve Christey en Chris Wysopal, een voorstel in bij de Internet Engineering Task Force (IETF) om in software ontdekte veiligheidsproblemen op een voor alle partijen gunstige manier op te lossen. De twee, beiden werkzaam in de computerbeveiliging, meenden dat het nodig was om het opsporen en oplossen van veiligheidsproblemen aan strenge regels te binden. In hun ogen 'doet iedereen nu maar wat'. Christey en Wysopal hebben nu het voorstel bij de IETF ingetrokken. Verschillende IETF-leden konden het maar niet eens worden over de noodzaak van het indienen van het voorstel. Een aantal IETF-leden was er niet blij mee dat het document, Responsible Vulnerability Disclosure Process genoemd, ingediend was zonder eerst informatie bij de IETF in te dienen. Verder meent een deel van de IETF-leden dat de indieners van het voorstel te weinig bedrijven uit de sector op voorhand gepolst hebben over de problemen. De twee onderzoekers bestrijden dit echter. Zij geven aan dat ze wel degelijk genoeg belangrijke bedrijven, waaronder Microsoft, van tevoren gepolst hebben over de door hen geschetste problemen.

Voorstel

In het voorstel van Christey en Wysopal moeten de ontdekkers van het veiligheidsprobleem zich houden aan bepaalde 'verantwoordelijkheids'-regels bij het naar buiten brengen van de gevoelige informatie. De ontdekker brengt eerst de softwaremaker in kwestie op de hoogte. Die krijgt binnen een bepaalde termijn (zeven tot tien dagen) de tijd om te reageren. De makers van de software moeten de ontdekkers van het probleem elke zeven dagen op de hoogte houden van hun vorderingen bij het vinden van een oplossing. Binnen een maand moet dan een definitieve oplossing op tafel liggen. Op deze manier denken Christey en Wysopal dat het risico voor de gebruikers tot een minimum beperkt wordt, hebben de softwaremakers de tijd om de problemen op te lossen én krijgen aanvallers niet alle kansen om misbruik te maken van het probleem.