獨(dú)立安全研究人員Dino Dai Zovi也對(duì)微軟這一漏洞披露方法的轉(zhuǎn)變表現(xiàn)支撐，并稱(chēng)“負(fù)義務(wù)的漏洞披露”是一個(gè)有歧義的術(shù)語(yǔ)。微軟可能通過(guò)采用更加明白的漏洞修復(fù)期限或?yàn)槁┒窗l(fā)明者供給獎(jiǎng)金等方法，進(jìn)一步推動(dòng)這一漏洞披露方法的進(jìn)展。

Dai Zovi說(shuō)，“這決不意味著微軟嚴(yán)格定義的安全漏洞披露方法是不負(fù)義務(wù)的。微軟在安全漏洞方面所做的其他調(diào)劑也具有積極意義，但在對(duì)安全研究人員友愛(ài)性方面的政策還遠(yuǎn)遠(yuǎn)不如谷歌和Mozilla�！�

Mozilla為發(fā)明其軟件中存在漏洞的研究人員供給最多達(dá)3000美元的獎(jiǎng)金。谷歌不但為發(fā)明其Chrome瀏覽器中存在漏洞的研究人員供給最多達(dá)3133美元的獎(jiǎng)金，同時(shí)承諾在60天內(nèi)修復(fù)漏洞。通過(guò)這些更為機(jī)動(dòng)的方法，谷歌和Mozilla主動(dòng)邀請(qǐng)研究人員向其報(bào)告漏洞。

安全評(píng)估機(jī)構(gòu)Independent Security Evaluators的研究人員Charlie Miller認(rèn)為，微軟的聲明是一個(gè)可喜的變更，但還有一些問(wèn)題沒(méi)有解決。例如，“微軟為什么不像谷歌和Mozilla那樣向漏洞發(fā)明者支付獎(jiǎng)金？難道微軟認(rèn)為其產(chǎn)品安全性的價(jià)值還抵不上支付給報(bào)告嚴(yán)重安全漏洞的研究人員的獎(jiǎng)金？另外，為什么微軟在發(fā)明安全漏洞時(shí)不能承諾60天內(nèi)完成修復(fù)？”

Miller在接收電話采訪時(shí)表現(xiàn)，通過(guò)與安全研究人員簽訂合同并向直接報(bào)告漏洞者支付獎(jiǎng)金，谷歌和Mozilla在必定程度上獲得了對(duì)漏洞披露的把持。他說(shuō)，“對(duì)我來(lái)說(shuō)，由于我已經(jīng)具有必定的著名度，在漏洞報(bào)告中署上我的名字沒(méi)有任何用處。因此，我可不愿花幾個(gè)星期的時(shí)間尋找并向微軟報(bào)告漏洞�！�