好的，这里有两个问题：

• 如果事情变糟，他们将导致生命的损失
• 如果您公开此信息，您就是举报人（这可能会影响您的职业生涯）

向公众披露可能是危险的，只能作为最后的手段。您可能首先要考虑的其他一些选项：

• 如果供应商是较大实体的一部分，请转到 N+1，您可以尝试发送一个非常明确的信息，即他们的较小实体之一正在威胁整个公司的形象（因为这是公司所担心的，但永远不要这样做: 修复它，否则我会披露它，无论如何都不会直接披露，因为那是敲诈）
• 去一个政府机构，在比利时，我们有 CERT，即网络应急响应小组。您可以匿名向他们报告，他们会尝试联系该实体。如果失败，他们仍会与联邦计算机犯罪部门保持联系。

如果这一切都失败了，甚至可以匿名披露（匿名告诉公司问题将在 X 日披露，届时他们将被迫修复它，无论他们是否修复了问题，您都将发布它）。这是对供应商的死刑判决，但我个人更喜欢一些人失去一些钱而不是一些人因为某人无知而失去生命。

无论如何，这是我个人的看法。

如果没有政府机构可以减轻压力，我会考虑 3 项措施：

• 最终用户
• 媒体
• 监管机构

对于医疗设备，我可能会去使用该产品的医院或医院集团并向他们展示问题。他们能承受的压力比你一个人能承受的要大。

否则，我会去特定于供应商或最终用户的媒体，向他们解释，但不允许公开问题的细节。媒体的压力带来了更大的影响力，而您没有透露细节并冒着生命危险。

如果产品影响生命，可能会有监管机构提供监督。联系他们可能会很棘手（而且很长），但这就是他们存在的目的。

我个人的情况非常相似，供应商根本不合作。我无法接触到最终用户，但打电话给供应商行业的杂志让记者开始提问，这对促使供应商做出改变是有效的。

先和你的律师谈谈。如果你没有，就买一个。任何其他建议都不是很相关。