En el caso de encontrar una vulnerabilidad de seguridad en el mundo de Linux, el procedimiento involucrado sería informar la vulnerabilidad ...
- ... a los desarrolladores o mantenedores del paquete en un sistema operativo en particular.
- ... al equipo de seguridad de ese sistema operativo en particular.
Luego se hacen los parches y se liberan los CVE.
Tengo curiosidad acerca de cómo funcionan los informes de vulnerabilidad de código abierto en el mundo OSX. ¿Los desarrolladores liberan CVE's si un problema de seguridad llega a su aviso?