OpenOffice.org みたいに何百万というユーザを取りに行く製品の場合、
主要言語の修正版のバイナリが公開されて、それから暫く経って、
大きな影響が出ないタイミングで脆弱性情報を開示するというのが理想的です。
ソースとバイナリの公開はたぶん同時になりますが、脆弱性の修正だけでなく
ソースには多数の変更点があって、どれが脆弱性に関わるのか容易には分からない
ようになっている、という状態を一時的には作り出す必要があります。
後日、完全に開示することとは矛盾しないと思いますが。

この場合問題視されるのはフルディスクロージャーとなるタイミングでしょう。
影響範囲やある程度複雑なものになるとやっぱり大変なのかも。
開発者とユーザーが近いとか影響範囲が軽微なら有る程度すぐオープンにしてもOKでしょう。
しかし相手が「自分で入れた」とか「更新」という概念が薄い普通の一般人が多数を占めるようになると、
複数のプロダクトを持っているはずなのに、1つのプロダクトで解決しただけで他の製品はまだまったく同一の問題が未解決という状況とか、
大半のユーザーがまだ更新していない状態でどのように攻略するかという方法を公開しちゃうのは開発元の対応としてはイケてないのではないですかね？
自分本位で客の事をまったく考えてないような印象が。
自分がメインの言語のプロダクト以外は知らないし、安全性関連の印象によるシェアなんて要らないって状況ならそれもアリでしょう。

完全開示したいなら全言語の対応が終わってからとか詳細を開示すれば有る程度問題ないわけですし。
Firefoxなんかがそんな対応してますよね。

# すぐ開示しても結構大丈夫だったのは古き良き牧歌的な時代だったなのかもと思うのでAC