Ответ 1
Честно говоря, у вас нет никаких обязательств, если:
- Вы обнаружили проблемы, связанные с законной установкой программного обеспечения (в соответствии со всеми рекомендациями ToS/Fair Usage и т.д.).
- Вы не изменяли и не подвергали риску безопасность системы каким-либо известным способом, целенаправленно настраивая систему таким образом, чтобы она была небезопасной (т.е. целенаправленно удалять меры безопасности, которые она имеет)
- Вы не можете считаться соперником за финансовую выгоду в том же рыночном пространстве.
Если этот продукт является чисто открытым исходным кодом и по свободной лицензии, последнее, очевидно, верно, оставляя только первые два, которые нужно учитывать (если у него есть коммерческое лицензирование, это может быть другое дело).
Вы можете открыто документировать все проблемы, которые у вас есть с программным обеспечением, пока вы утверждаете, что это ваше мнение, и что вы возвращаете упомянутые проблемы с доказательством (предпочтительно, подтвержденным сторонним) в той или иной форме (блог, список рассылки, и т.д).
Если вы являетесь исследователем безопасности, специально предназначенным для исследования продукта или намеревающимся опубликовать свои результаты в рамках своей корпоративной отчетности, ваш юридический отдел будет иметь дополнительные правила, которые вам необходимо соблюдать (проконсультируйтесь с ними).
Я считаю, что дилемма носит чисто этический характер, и я хотел бы привести одну часть вашего сообщения:
У меня есть несколько эгоистических причин для говоря: "Посмотрите, как я умный!" эти проблемы в коде! ", но они закалены, желая дать разработчикам время исправить код, и я хорошо знают, что эго и гордость могут быть участвующих в этих вопросах.
Если вы считаете, что ваши этические рассуждения справедливы, вы должны следовать здравому смыслу, который вы найдете наиболее разумным (я считаю, что SANS будет очень справедливым в этом случае).