An der Microsoft-Initiative haben sich zunächst nur die Firmen Stake, Internet Security Systems, Guardent, Foundstone und Bind View beteiligt, man will aber noch weitere Hersteller sowie Standardisierungsgremien von einer Teilnahme überzeugen. Einig sind sich die sechs Unternehmen bereits über den ersten Schritt, wonach Softwarefehler erst 30 Tage nach Erscheinen eines Bugfix publiziert werden dürfen. Entdeckt jemand ein Sicherheitsproblem, kann er zwar sofort Alarm auslösen, allerdings ohne die technische Beschreibung des Fehlers, die Hackern laut Microsoft als Gebrauchsanweisung für ihre Virenprogrammierung dienen könnte.

Kritiker der Initiative wundern sich nicht, weshalb ausgerechnet Microsoft an einer solchen Publikationsregelung interessiert ist. Das "Wall Street Journal" zitiert anonyme Stimmen, die den Redmondern unterstellen, den in Sachen Sicherheitsaspekte schlechten Ruf der eigenen Produkte vertuschen zu wollen. Wer Security-Experten dazu verpflichte, die eigenen Entdeckungen nur zensiert an die Öffentlichkeit weiterzugeben, der entziehe Systemadministratoren die für das Tagesgeschäft benötigten Informationen.(ue)