В RFPolicy указан метод связи с поставщиками по поводу уязвимостей безопасности, обнаруженных в их продуктах. Первоначально он был написан хакером и консультантом по безопасности.
Согласно политике поставщику предоставляется пять рабочих дней на то, чтобы ответить автору ошибки. Если поставщик не сможет связаться с репортером в течение этих пяти дней, рекомендуется сообщить о проблеме всему сообществу. Репортер должен помочь поставщику воспроизвести ошибку и разработать исправление. Репортер должен отложить уведомление общего сообщества об ошибке, если поставщик предоставляет возможные причины для этого.
Если поставщик не отвечает или прекращает общение с докладчиком о проблеме в течение более пяти рабочих дней, докладчик должен сообщить о проблеме всему сообществу. При выпуске предупреждения или исправления поставщик должен отдать должное репортеру за сообщение об ошибке.