Gezien de situatie (gratis, solo ontwikkelaar, parasitisch ecosysteem) vind ik het logisch dat hij de keuze maakt.
Echter, ik denk dat het ook mogelijk was geweest om een andere oplossing te vinden.
Bijvoorbeeld vragen om financiële of technische steun bij het fixen van deze patches.

Ethisch gezien is het publiek maken van kwetsbaarheden minder wenselijk.
Maar dat grote partijen er gebruik van maken zonder iets terug te geven is net zo min wenselijk.
Zulke grote partijen zouden ten minste moeten controleren of het oké gaat met de maintainers van hun dependencies.
Dan hadden ze support kunnen leveren en was deze hele full-disclosure situatie niet ontstaan...

In de jaren '90 was er een groep die fel voorstander was van direct openbaren van gevonden kwetsbaarheden, met als onderbouwing daarvoor dat als je dat niet deed bedrijven hun kwetsbaarheden doodleuk niet oplosten (dat was toen inderdaad maar al te vaak zo) en dat ook bij het grote publiek onbekende kwetsbaarheden een risico zijn omdat een kwaadwillende die ook ontdekt kan hebben.

Vanuit de softwarebedrijven, en het kan zijn dat het Microsoft is geweest, is toen het voorstel gekomen om het te melden maar toch voor het grote publiek tijdelijk stil te houden, omdat het openbaren ervan juist die kwaadwillenden op een presenteerblaadje geeft waar ze naar zoeken; maar om het na een termijn wel te openbaren, zodat er wel druk was op de softwarebedrijven om hun shit te repareren. Dat compromis, "responsible disclosure", is de norm geworden.

De situatie rond libxml2 is interessant omdat het juist de maker van een stuk software is die hetzelfde drukmiddel gebruikt, met eigenlijk precies dezelfde motivatie als destijds: softwarebedrijven nemen hun verantwoordelijkheid niet. Dat pakt zo uit omdat die softwarebedrijven zelf niet de maker van deze software zijn, en het gebruiken zonder er voldoende aan bij te dragen. Ja, ze melden problemen, maar het is hun omvang die maakt dat er zoveel problemen ontdekt worden dat het voor de maker problematisch wordt om nog bij te benen.

Het zou voor Apple, Google en Microsoft, de genoemde bedrijven, prima te doen moeten zijn om bij te dragen met ontwikkelcapaciteit in plaats van alleen met meldingen van problemen. Ze zouden zich diep moeten schamen dat ze hun bedrijfsvoering zo slecht op orde hebben dat ze dit over het hoofd zien. Juist een grote organisatie kan georganiseerd genoeg zijn om dit op orde te hebben. Ze verwachten dat andere organisaties, die hun betaalde software en clouddiensten gebruiken, ook hun administratie op orde hebben over wat ze gebruiken en hun rekeningen betalen. Dan moet het niet teveel gevraagd zijn om zelf bij te houden wat ze eigenlijk gebruiken en op beleidsniveau én in de praktijk geregeld te hebben dat ze voldoende bijdragen om wat ze gebruiken gezond te houden, en om te beseffen dat ze als grootverbruiker niet alleen problemen moeten melden maar ook een handje moeten helpen bij het oplossen ervan. Simpelweg omdat dit open source is en de makers niet betaald worden. Dan besparen ze iets minder dan de volledige ontwikkelkosten door open source te gebruiken, maar besparen ze nog steeds.

Ik vind daarom, in deze situatie, dat de ontwikkelaar een goede keuze maakt. Dit is heel vergelijkbaar met hoe in de jaren '90 direct openbaar maken van kwetsbaarheden als drukmiddel werd gebruikt om de software-industrie zijn verantwoordelijkheid te laten nemen. Uit die druk is die "responsible disclosure" voortgekomen. Nu is er weer druk nodig om diezelfde industrie zijn verantwoordelijkheid te laten nemen, en het is interessant dat het nu juist een softwaremaker is die voor hetzelfde drukmiddel kiest. Als die grote softwarebedrijven nalaten om hierop te reageren dan kan het tot acute problemen leiden, maar die kunnen ze voor zijn door wakker te schrikken en hun verantwoordelijkheid te nemen. Ze hebben ontwikkelaars zat in dienst die de benodigde inspanning kunnen leveren, en ze zijn grote organisaties die prima in staat moeten zijn om dit zo te organiseren dat ze het voortaan niet over het hoofd zien, niet bij libxml2 en niet bij andere open source-componenten die ze gebruiken.