<div dir="ltr"><div><span style="font-family:arial,sans-serif;font-size:13px">Hi David,</span></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">> </font><span style="font-family:arial,sans-serif;font-size:13px">I guess someone should have mentioned that for</span></div>

<span style="font-family:arial,sans-serif;font-size:13px">> many packages whole teams with public mailinglists are set as (one of the)</span><br style="font-family:arial,sans-serif;font-size:13px"><span style="font-family:arial,sans-serif;font-size:13px">> maintainers, which defeats the point of delayed public disclosure a bit</span><br style="font-family:arial,sans-serif;font-size:13px">

<span style="font-family:arial,sans-serif;font-size:13px">> (as I am not a maintainer, so I must be the "public" reading this).</span><div><font face="arial, sans-serif"><br></font><div><span style="font-size:13px;font-family:arial,sans-serif">I realize now that many emails (about </span><span style="font-size:13px;font-family:arial,sans-serif">20% in our case) that are </span><span style="font-size:13px;font-family:arial,sans-serif">listed as package maintainers, are <span class="">public</span> mailing lists. That's unfortunate, but hopefully most reported bugs will not be security critical. I'll make sure to exclude mailing lists next time.</span><font face="arial, sans-serif"><br>

</font><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">> I wonder a bit though why only some Uploaders seem to</span><br style="font-family:arial,sans-serif;font-size:13px">

<span style="font-family:arial,sans-serif;font-size:13px">> get a mail, as the package has two uploaders</span><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div></div></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br>

</span></div><div><font face="arial, sans-serif">This is concerning. Uploaders with special characters in their name did not receive the mail yet, but this shouldn't have happened in your package. Can you let me know which uploader did not receive the package?</font></div>

<div><font face="arial, sans-serif"><br></font></div><div><span style="font-family:arial,sans-serif;font-size:13px">> This specific bug itself is probably close to a non-issue: We are talking</span><br style="font-family:arial,sans-serif;font-size:13px">

<span style="font-family:arial,sans-serif;font-size:13px">> about a binary with the keyword "test" in it so I guess nobody cares for</span><br style="font-family:arial,sans-serif;font-size:13px"><span style="font-family:arial,sans-serif;font-size:13px">> crashes with "strange" inputs in it, but that's up for the intended receivers</span><br style="font-family:arial,sans-serif;font-size:13px">

<span style="font-family:arial,sans-serif;font-size:13px">> of this mail to decide of course. :)</span><font face="arial, sans-serif"><br></font></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br>

</span></div><div><font face="arial, sans-serif">I agree that this does not seem like an issue. There is a "DO NOT REPORT" option if maintainers feel like the report should not be submitted for any reason. It would be nice to see the crash fixed though :)</font></div>

<div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">Thanks</font></div><div><font face="arial, sans-serif">Alex</font></div></div>