A favore del full disclosure era già arrivato in questi giorni l'
appello di Jon Lasser, noto esponente della comunità open source che, fra le altre cose, invitava Alan Cox a rivedere le sue recenti clamorose scelte favorevoli alla limitazione della divulgazione delle vulnerabilità del kernel di Linux.
Dopo l'annuncio della nuova alleanza, altre voci sono emerse dal coro della protesta.
"Quello che si sta creando qui è un cartello sull'informazione" ha dichiarato Elias Levy, moderatore della nota mailing list sulla sicurezza Bugtraq e CTO di SecurityFocus. "Per i produttori di software di sicurezza è un bene non dover offrire informazioni dettagliate sulle vulnerabilità, perché ciò li fa apparire migliori agli occhi dei propri clienti".
Le aziende che partecipano all'iniziativa a cui ha dato vita Microsoft sono propense a rilasciare ogni informazione dettagliata circa le vulnerabilità alle forze dell'ordine ed a quelle organizzazioni che possano garantire la non divulgazione. Questo significa, secondo Levy, che le informazioni sulla sicurezza non saranno più accessibili al pubblico ma, per contro, queste potranno essere condivise fra i membri di una sorta di lobby industriale che avrà nelle sue mani il controllo su informazioni di grande valore.
Marc Maiffret, co-fondatore di eEye Digital Security, ribadisce quanto detto da Levy sottolineando come, a suo parere, la coalizione sia stata creata pensando al vantaggio commerciale dei suoi membri piuttosto che al bene di Internet.
"Quanto più diverrà arduo rilasciare informazioni sulle vulnerabilità - ha commentato Maiffret - quanto più Microsoft potrà risparmiarsi diversi imbarazzi".
Nonostante eEye, l'azienda capitanata da Maiffret, si sia già impegnata in passato a non divulgare le vulnerabilità prima del rilascio, in tempi ragionevoli, di una patch da parte dei relativi produttori di software, Maiffret sostiene di essere totalmente contrario alla restrizione che alcuni vorrebbero imporre sulla divulgazione dei dettagli tecnici, e avverte: "la nuova coalizione potrebbe mettere in disparte i ricercatori di sicurezza indipendenti".
Christopher Klaus, fondatore e CTO di Internet Security Systems, una delle società che ha aderito alla coalizione sul non disclosure, ha però controbattuto: "Qui non si tenta di dar vita ad una società segreta degli exploit. Stiamo solo cercando di creare uno standard che suggerisca norme di comportamento fra aziende di sicurezza e produttori di software". Ma, come qualcuno ha fatto notare, per taluni "suggerire" equivale troppo spesso ad "imporre".