Azt szoktak volt csinalni - legalabbis tapasztaltaim szerint - hogy az upstream fejlesztok tudjak, hogy az egyes nagyobb disztribekbe ki csinalja a programjukhoz a csomagot, vagy ha ezt nem, ismerik a cimet ahova a security reportokat lehet kuldeni, es nem publikus levelezolista az (security@debian.org pl egy ilyen cim). Ok megkapjak a hibajelentest, javitjak a bugot, es szolnak a disztribucioknak, hogy hohaho, frissitsetek, mert bug van (ezert jo pl az, amikor egy csomag $DISTRO-beli maintainere joban van upstreammel, mert akkor ilyenekrol idoben ertesul). Es mielott meg public announce lenne az uj verziorol, a disztribuciok mar meg is csinalhatjak a csomagot, vagy legalabbis elkezdhetik.
Nyilvan nem minden disztribucio, de a nagyobbak (Debian, RH/Fedora, SuSE, Mandrake, meg a BSDk). Akiknek meg nem szoltak, azok meg utolag a patch megjelenese utan kell osszekapjak magukat. Viszont meg mindig jobb igy, mintha patch sem lenne, es akkor mindenki ott allna es nezne hogy jajjmostakkormivan. Ha elore szolnak upstreamnek, akkor o mar tud patchel szolgalni, igy azok a disztribuciok, akik nem lettek a publikus bejelentes elott ertesitve, hamarabb tudnak javitott csomagot szolgaltatni a felhasznaloiknak, mintha nekik kene osszehozniuk a javitast is.
Nem az a cel, hogy minden felhasznalohoz eljusson a frissites mielott az exploit kikerul a szabadba, mert az lehetetlen. Az a cel, hogy amikor megjelenik, ismert legyen a javitas. Innentol kezdve a disztribuciok mar sokkal de sokkal gyorsabban tudjak a javitast eljuttatni a felhasznaloikhoz.