Een groep softwarefabrikanten en beveiligingsbedrijven heeft in februari de aanzet gegeven voor de oprichting van de Organization for Internet Safety (OIS). Ze hebben genoeg van verrassingen en willen richtlijnen voor het publiceren van bugs en veiligheidslekken. Inmiddels is de groep bedrijven gegroeid tot elf waaronder grote namen als Microsoft, Oracle, Symantec en Network Associates. De lijst van deelnemende bedrijven is echter nog niet compleet, op de eigen website worden andere organisaties aangemoedigd om zich aan te sluiten. De richtlijnen voor het openbaar maken van bugs zullen niet meer zijn dan een advies, zo zegt de organisatie. Het is niet de eerste keer dat de OIS met een voorstel voor richtlijnen komt, nieuw is wel de toevoeging dat de regels niet bindend zullen zijn, er zal geen controle op de naleving plaatsvinden:
Volgens de nu geformeerde OIS "compliceert het ontbreken van dit soort richtlijnen de oplossing van de problemen, waardoor uiteindelijk de risico's voor alle computergebruikers groter zijn". De groep benadrukt dat de geformuleerde richtlijnen niet meer zijn dan dat; er wordt geen manier verzonnen om de naleving ervan af te dwingen.
Deze laatste toevoeging komt niet zomaar uit de lucht vallen. Een aantal leden van de OIS probeerde eerder al soortgelijke richtlijnen op te stellen. Die moesten de softwarefabrikanten bijvoorbeeld dertig dagen de tijd geven om de zwakke plekken te dichten voordat andere partijen hierover publiceerden. Er werd een voorstel ingediend bij de Internet Engineering Task Force (IETF). Dit technisch orgaan wees het voorstel echter af, aangezien de kwestie volgens de IETF niet binnen zijn bevoegdheid viel.