<div dir="ltr"><div dir="ltr"><div>Hi Lukas,</div><div><br></div><div>Thanks for your reply. Based on your response, as well as the other responses here, it seems like the structure of this clause is non-problematic.</div><div><br></div><div>However:<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 22, 2019 at 3:14 PM Lukas Atkinson <<a href="mailto:opensource@lukasatkinson.de">opensource@lukasatkinson.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>However, that 90 day window is awfully long... In the context of a source distribution requirement, a full 90 day embargo is unnecessarily long. At that point where a fix is first deployed by an operator, the issue has already been fixed and only distribution of patches to all operators remains to be done. It is in the interest of all users that this happens as expediently as possible. The only advantage that a long source embargo period would have is that an insider operator could deploy mitigations before a proper patch is available, but this still leaves the wider community vulnerable.<br></div></div></div></blockquote><div><br></div><div>I see this point. Having been inside a SaaS vendor, though, I am sometimes astounded that anything gets done at all. My thinking is that conforming with "standard" timeframes is most likely to encourage proper behavior by vendor/operators, even if it would not be ideal in isolation - thus increasing welfare on average.</div><div><br></div><div>We could also do something like 60 days, which is shortened, but still long enough to allow for slow corporate processes.<br></div><div><br></div><div>Thoughts on this response? Also, any thoughts from others? <br></div><div> </div><div>Thanks,<br></div><div>Van<br></div></div></div>