O Zero Day Initiative é uma iniciativa da HP Tipping Point que dá recompensas a pesquisadores de segurança por vulnerabilidades descobertas e não divulgadas publicamente. Então, o ZDI contacta o fabricante do software sobre a vulnerabilidade e solicita um patch. Apenas quando o fabricante liberasse uma correção para o problema a ZDI tornaria os detalhes da vulnerabilidade públicos. O problema é que o fabricante poderia postergar indefinidametne a solução para o problema, deixando o programa vulnerável ao ataque de crackers.

Na Black Hat, o ZDI anunciou uma nova política de divulgação de vulnerabilidades. Agora as vulnerabilidades serão divulgadas num prazo máximo de 6 meses, indepedentemente da não correção por parte do fabricante. A ideia é voltar a atenção aos fabricantes, os pressionando para corrigir as falhas dos programas de forma mais rápida.

Fonte: Patch Or We Go Public, Says Bug Bounty Program – CIO.com