<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Mar 28, 2018 at 10:51 PM, Bob Jonkman <span dir="ltr"><<a href="mailto:bjonkman@sobac.com" target="_blank">bjonkman@sobac.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">Khalid wrote:<br>
> The FAQ is intentionally vague to make it hard(er) for exploiters.<br>
<br>
</span>Not meaning to pile on Khalid, but that hardly seems like "full<br>
disclosure" to me.<br></blockquote><br></div><div class="gmail_quote">I have no experience with Drupal, or their history of disclosure, but I think this kind of partial disclosure is common for serious vulnerabilities.<br><br></div><div class="gmail_quote">But I like the model that Gitlab uses. They release security updates immediately, referencing the appropriate CVEs, but wait 30 days for full disclosure. Not that exploits will take 30 days to reverse-engineer, but it at least should give a chance to have patched systems out there.<br><br></div><div class="gmail_quote">In the case of a super-serious flaw, they've gone as far as announcing ahead of time that the release is coming out at XX time on YY day, and be prepared to upgrade. For example:<br><br><a href="https://about.gitlab.com/2018/01/12/gitlab-critical-release-preannouncement/">https://about.gitlab.com/2018/01/12/gitlab-critical-release-preannouncement/</a><br></div><br>-- <br><div class="gmail_signature"><div dir="ltr">Chris Irwin<br><<a href="mailto:chris@chrisirwin.ca" target="_blank">chris@chrisirwin.ca</a>></div></div>
</div></div>