不幸的是，对于这类问题并没有硬性规定，而且随着开源组件和库的广泛使用，一些公司不可避免地即使在很长一段时间后也不会更新（例如，每年仍有 20 万台服务器易受 Heartbleed攻击）发布后）

在让人们关注和修补方面，不幸的是，唯一的方法似乎仍然是在适当的私人通知期之后广泛公开地发布漏洞信息。

究竟你想在那个时期拥有多长时间是一个争论的问题，人们从 0 天一直到几个月。

也许一个体面的指导方针是遵循45 天后发布的 Cert负责任的披露政策。

从您描述的时间线来看，您似乎已经过了那个阶段，所以如果您真的想看到更多的人关注，最好的方法可能是写一篇描述问题和潜在影响的博客文章并广泛传播。

虽然建议这一点似乎有些愤世嫉俗，但就引起人们的注意而言，营销漏洞可能是最好的方法。如果您查看最近广为人知的 vuln，大多数都有一个吸引人的名字（“Drown”、“Heartbleed”等），并且这些文章非常清楚地解释了可能的影响。然后是它在社交媒体（推特、reddit 等）中被选中并开始在 InfoSec 社区中传播的案例。

这显然是关于 CVE、CERT 等“漏洞评估团队/机构”的童话故事。如果这样的问题不断上升，我觉得我必须将你的幻想打破成一个非常小而锋利的玻璃片......

请记住：没有像CVE等集体漏洞评估团队/机构这样的事情。为什么？太多的政府机构迫切需要类似后门的漏洞才能存在，以使它们能够非法和隐秘地闯入。记住很多故事，例如 BlackHat 演讲取消，对在ALL Cisco中发现后门的人提起诉讼，爱德华·斯诺登刚刚遵循他的国家的最高法律 - 美国宪法 - 他现在在“头号通缉犯”名单上。这些是最响亮的事情，还有更多——我只是在这里没有提到它们，但如果需要，我可以添加一些信息。

即使被抓到 - 政府机构也在强制执行和掩护他们的犯罪伙伴，比如 The Hacked Team。是的，他们的恶意软件是通过泄漏打开和开源的。此外，还检测到了一个Bundestrojan(er)并向公众展示...如今有多少防病毒软件正在准确捕获该恶意软件？ 甚至考虑到它们实际被发现和公开之间的时间差

醒来！表明某些事情是错误的唯一方法是尽可能大声地向尽可能广泛的受众说出来。有了所有的证明、代码示例等，只有这样它才不会被默默地披露，一些实际的步骤将由Vox populi进行。这是当今唯一的方法，这就是政府正在与之抗争的事情——所以，如果你敢的话，请做好准备；）