Topman Mike Shaver van Mozilla, de makers van de Firefox-browser, heeft beloofd dat zijn bedrijf voortaan binnen tien dagen met een patch komt voor kritieke veiligheidsproblemen.
De belofte werd gedaan op Defcon 2007 aan Robert Hansen van ha.ckers.org. Shaver vertelde hem dat Mozilla niet tevreden was met de tijd die er tussen twee recente Firefox-patches zat - hoewel dat slechts anderhalve week was - en zei er vertrouwen in te hebben dat er altijd binnen tien dagen nadat Mozilla van een probleem op de hoogte is gesteld, een patch klaar zou moeten kunnen liggen. Toen Hansen te kennen gaf niet te geloven dat Mozilla daartoe in staat zou zijn, gaf Shaver hem zijn kaartje, voorzien van de krachtige woorden 'Ten F***ing Days' en een pijl naar zijn mobiele nummer, bij wijze van uitnodiging om hem ter verantwoording te roepen indien mocht blijken dat Mozilla niet aan de zelfopgelegde tijdslimiet kan voldoen.
Hansen ging gelijk naar reacties vissen bij andere aanwezige bedrijven, onder meer bij Microsoft en Amazon. Volgens hem was er vooral consensus te bespeuren dat het een eigenaardig belofte was, en zeer lastig in te lossen: het fiksen van lekken die diep in complexe softwareproducten zitten, zou allerminst een triviale zaak zijn. Amazon gaf aan te geloven dat, indien Mozilla inderdaad binnen tien dagen met kritieke patches op de proppen komt, deze vermoedelijk van inferieure kwaliteit zullen zijn. Microsoft gebruikt dit argument vaak om kritiek weg te wuiven dat het niet snel genoeg met patches komt: er moet immers eerst uitvoerig worden getest of ze op alle systemen werken en geen nieuwe moeilijkheden veroorzaken. Het Redmondse softwarebedrijf komt doorgaans eens per maand met een patchronde, maar brengt wel eens zogeheten 'out of cycle'-patches uit indien er gevaarlijke exploits in omloop zijn. De tijd zal moeten leren of Shaver woord weet te houden, maar sommige reageerders op Hansens blog geloven er alvast in. 'Ze hebben tien dagen. Zet gewoon twintig geeks achter computers en kijk ze gaan', aldus een van hen.
Update 7 augustus, 11:36: Mozilla heeft de tien-dagen-belofte van Shaver in een weblog-posting ontkracht. Volgens veiligheidschef Window Snyder is het niet Mozilla's policy om binnen een vastgestelde termijn met patches voor kritieke lekken te komen: 'Veiligheidsproblemen zijn geen spelletjes', aldus Snyder. Volgens haar wilde Shaver met zijn uitspraken slechts de 'toewijding van de Mozilla-gemeenschap' illustreren. Hoewel een aantal recente lekken binnen enkele dagen werden gedicht, lijkt Mozilla zich niet te willen vastleggen op een termijn van tien dagen.