Oltre alle altre risposte che dicono "no, non farlo" (con cui sono d'accordo al 100%), suggerirò anche un percorso più diplomatico (potrebbe essere complicato e potrebbe non funzionare in tutte le situazioni), perché a volte (ma non sempre) ne vale la pena:
Supponendo che queste scoperte non facessero parte di un piano di test formale su una matrice di test, dare alla persona che ti sta "implorando" la possibilità di farcela da sola. Potresti dire loro che non segnalerai formalmente i problemi fino al $ someDate
(che potrebbe essere dopo o immediatamente prima della loro vacanza, a seconda delle date e di quanto tempo sono lontani e quanto lontani quella data è) anche se se desidera segnalare il problema prima, allora può farlo e tu non lo solleverai. Allo stesso tempo, suggerirei anche di inviare un messaggio al tuo supervisore / responsabile del team dicendo che hai riscontrato alcuni potenziali problemi ma desideri un po 'più di tempo per i test e invierai un rapporto dettagliato quando pronto.
Questa strategia offre allo sviluppatore la possibilità di salvare un po 'di faccia e segnalarli in un momento in cui potrebbe non rovinare i loro piani (e se hanno fatto piani a lungo termine per visitare la famiglia in un lontano dalla terra, farebbe schifo rovinare quei piani, ma non è nemmeno un problema tuo - è un problema che lo sviluppatore deve risolvere con la direzione) e ti solleva anche dal problema di mantenere i segreti. Se lo sviluppatore non segnala entro $ someDate
, invii il rapporto. Se lo fanno segnalano, almeno ricevi comunque il merito di averlo scoperto prima.
Non conosco la vera natura di questi problemi. Se ritieni che queste vulnerabilità siano attualmente sfruttabili da qualsiasi aggressore casuale e puoi dimostrare una prova di questo concetto (su una macchina TEST, non di produzione, senza avere problemi), allora dovresti segnalarlo immediatamente, o fare in modo che lo sviluppatore segnalalo immediatamente (con i tuoi dati di prova come prova - non lasciare che si prenda il tuo merito).
Pensa a quanti guai ti troveresti se scoprissi che conosceva il problema e non ha detto nulla.