Do tej pory omówiliśmy dwie skrajności: pełne ujawnienie dostawcy i pełne ujawnienie publiczne. Przyjrzyjmy się teraz metodzie ujawniania informacji, która mieści się pomiędzy obiema metodami: ujawnianie skoordynowane. W 2007 roku Mark Miller z Microsoftu formalnie zaapelował o „odpowiedzialność ujawnienia.” Przedstawił powody, w tym potrzebę zapewnienia dostawcy, takiego jak Microsoft, czasu na pełne naprawienie problemu, łącznie z otaczającym go kodem, w celu zminimalizowania ryzyka wprowadzenia zbyt wielu poprawek. Miller przedstawił kilka trafnych uwag, ale inni argumentowali, że odpowiedzialne ujawnianie informacji jest skierowane w stronę dostawców i gdyby Microsoft i inni nie zaniedbywali tak długo poprawek, w ogóle nie byłoby potrzeby pełnego ujawniania informacji. Wkrótce ludzie zaczęli argumentować, że nazwa „odpowiedzialne ujawnianie informacji” sugeruje, że próby zapewnienia odpowiedzialności dostawcy są zatem „nieodpowiedzialne”. Przyznając tę uwagę, sam Microsoft zmienił później swoje stanowisko i w 2010 roku ponownie zaproponował użycie zamiast tego terminu „skoordynowane ujawnianie luk w zabezpieczeniach” (CVD). Mniej więcej w tym czasie Google podgrzało atmosferę, wyznaczając sztywny termin 60 dni na naprawienie wszelkich problemów związanych z bezpieczeństwem przed ujawnieniem informacji. Wydawało się, że posunięcie to było skierowane do firmy Microsoft, której naprawienie problemu czasami zajmowało ponad 60 dni. Później, w 2014 roku, Google utworzył zespół o nazwie Project Zero, którego celem było wyszukiwanie i ujawnianie luk w zabezpieczeniach z wykorzystaniem 90-dniowego okresu karencji. Cechą charakterystyczną skoordynowanego ujawniania informacji jest groźba ujawnienia po rozsądnym terminie w celu pociągnięcia dostawców do odpowiedzialności. Centrum Koordynacyjne Zespołu Reagowania na Kryzysy Komputerowe (CERT) zostało utworzone w 1988 roku w odpowiedzi na robaka Morris i przez prawie 30 lat służyło jako pośrednik w dostarczaniu informacji o lukach w zabezpieczeniach i poprawkach. CERT/CC ustanowiło 45-dniowy okres karencji na rozpatrywanie raportów o podatnościach, w tym sensie, że CERT/CC opublikuje dane o podatnościach po 45 dniach, chyba że zaistnieją wyjątkowe okoliczności.18 Badacze bezpieczeństwa mogą zgłaszać luki do CERT/CC lub jednej delegowanych przez niego podmiotów oraz ,że CERT/CC zajmie się koordynacją z dostawcą i opublikuje luki w zabezpieczeniach, gdy łatka będzie dostępna lub po 45-dniowym okresie karencji.