Igen, ebben a konkrét esetben úgy lenne elegáns, szimpatikus, és értékteremtő, hogy segítséget ajánlani. A google számára nem lenne vállalhatatlan teher.
Azt viszont nem tartom tisztességtelennek, hogyha egy sérülékenység feltárója azt tapasztalja hogy ignorálják a bejelentését, akkor ha az egy valóban fontos sérülékenység és esetleg szó szerint tömegeket érinthet mint egy ffmpeg sérülékenység, akkor nagyobb körben is szóváteszi. Persze nem akkor ha a googleről van szó, ők meg is javíthatnák azokat a hibákat amiket a mások repoin promózott hibadetektáló rendszerük észrevesz. Az lenne a valódi reklám, ha küldenék is a sérülékenyég mellé a patchet/merge requestet (amit aztán a konkurens cég hibadetektálója tudna vizsgálni, mennyire jó), mert ez így nagyon féllábas. Vagy, futtassák az mi-t a maguk kódjaira, és írják le a techblogjaik valamelyikében az eredményeket.
Más kérdés, hogy az OSS-nek a teljes kódtranszparencia a velejárója, ami nem feltétlen mindig hasznos, mint most mikor csak a sérülékenység ténye és kiváltásának módja lett publikálva a megoldás nem, de ez egy ilyen konstrukció.