¿Cómo reportar un BUG de software para que lo corrijan?

¡Hola betas!

Detecté un BUG en un software, apenas lo detecté, lo informé al desarrollador pero aún no lo ha corregido.

Me preocupa que el BUG puede ser aprovechado por usuarios mal intencionados.

¿Qué harían ustedes?

Pues por tu parte estas haciendo lo correcto. Pienso que deberias seguir informandolo. Puesto que si es un Software pago puede tener perdidas considerables por el bug, aparte que puedes rayar su nombre.

Hay algunas páginas donde se pueden informar este tipo de bugs con respecto a cada una de las versiones, incluso para plugins wordpress y otros programas.

Dargento dijo:

...
Apenas lo detecté, lo informé al desarrollador y al día siguiente realizó una actualización pero de forma provisoria (como para que nadie más detecte el BUG en las versiones más recientes). Usando las versiones anteriores, es posible acceder a la información.

Le expresé mi preocupación al desarrollador y me dijo que tiene que hacer una modificación importante para que en las versiones anteriores ya no sea visible la información.

Hacer clic para expandir...

¿Porqué tendría que dar soporte a versiones anteriores?

Desde mi punto de vista, lo correcto es lanzar una nueva versión con una correción temporal (Lo hizo). Luego, se debe informar del error y solicitar a q todos deban actualizar ya mismo (URGENTE). Y bueno, seguir el desarrollo con prioridad en esos bugs críticos.

Si omitio el anuncio, déjalo, sólo presionalo con la correción y el soporte para nuevas versiones, ya que no tiene el porque de dar correcciones a versiones anteriores (no es LTS, o si?)

Y si, ¿Es un proyecto Open Source?
Si tú te beneficias del proyecto, porque no contribuir con esos cambios que mencionas directamente.

¿Tienes contacto directo con él?
Como lo indicas, si paso un año y aún no paso nada. Tal vez sea tiempo de recordarselo, o tal vez él se esta aprovechando del bug (suele pasar).

PD: Tuve una experiencia similar hace muchos años, yo deje de usar ese software, irónicamente ese software es muy popular hoy en día. Aún tiene ese bug abierto (creo)

PD2: No usen FileZilla, https://trac.filezilla-project.org/ticket/1373

Por cierto, suerte con tu decisión @Dargento sea cual sea.
No te olvides de comentar como te fue.😀

Pues si se puede acceder a los datos sin poner la contraseña, a pesar de que esos datos están cifrados, probablemente el mayor problema no será el no necesitar la contraseña, sino la manera en la que cifra los datos (lo normal sería que estén emparejados con la contraseña, sino es el caso, las alternativas a eso no son muy alentadoras).

En estos casos lo mejor que se puede hacer es esperar a que el desarrollador arregle el bug y no comprometa la retrocompatibilidad (quizá). Por suerte, según puedo deducir por lo que dices, esos datos son locales y en un software con no demasiados clientes, puede que realmente no sea un bug crítico y puede que por ello lo esté ignorando y dándole prioridades a otras cosas. Si el software se sigue actualizando, asumiría que es ese el caso.

Un ejemplo nuen ejemplo es lo que @iamcholo muestra con lo de filezilla: Ese bug fue categorizado como "normal" y luego cerrado, porque para que se de, es necesario guardar las contraseñas en filezilla, algo que siempre es desaconsejable (no conozco a nadie que lo haga) y que también solía ser un problema con los navegadores (no se si continúen con ese problema, pero estuvo así por años y sigue en IE). Para explotar eso como un bug, es necesario infectar el ordenador o tener acceso físico al mismo, por lo que de base no es un problema de prioridad (con acceso físico o infectando un ordenador ya deberías poder hacer lo que te de la gana como atacante).