海外での例。日本だと通常連絡先はIPAかJPCERT/CCでしょうか。
・信頼関係を築く
・影響を受ける当事者へ最初に知らせる
・連携して取り組む
・必要に応じて秘密性を保つ
・望ましい行動を奨励する
:脆弱性開示の倫理原則 | カスペルスキー公式ブログ