Mike Reavey, ředitel MSRC (Microsoft Security Response Center), informoval, že jeho společnost nedokumentuje každou chybu, kterou objeví a také pokud několik chyb sdílí stejné vlastnosti, nemá údajně smysl reportovat každou zvlášť.
O tzv. tichém záplatování se začalo mluvit na začátku tohoto měsíce poté, kdy společnost Core Security Technologies prostudovala patche Microsoftu s označením MS10-024 a MS10-028 a zjistila v nich tři opravy, které nebyly oficiálně oznámeny. Bulletin MS10-028 byl určen k opravě možného přetečení bufferu v aplikaci MS Visio, cehož útočníci mohli využít k převzetí kontroly nad systémem.
Microsoft podle Reaveye o všech opravách neinformoval údajně proto, že vektor útoku byl prakticky shodný a ze strany zákazníky nemá příliš smysl mezi těmito opravami rozlišovat, protože všechny chyby přinášely riziko při otevírání dokumentů z nedůvěryhodných zdrojů.
Podobně také Adobe příliš nemluví o interních opravách a drobné chyby vydává v rámci updatů svého softwaru jako tzv. „zlepšení kódu“ a reportovány jsou jen takové, které jsou aktivně exploitovatelné nebo které byly nahlášeny externími výzkumníky.
Tato skutečnost ovšem přináší nejasnost do počtů opravených chyb v produktech různých výrobců, protože zjevně závisí na jejich interní politice a označování toho, co považují za skutečnou chybu a zranitelnost a co nikoliv. Měřítka tedy mohou být velmi odlišná a smysl pak toto porovnání dává jen v případě srovnávání oprav v produktech od jednoho výrobce.
Reavey říká, že ale existuje více způsobů, jak měřit bezpečnost produktů a počet objevených a následně opravených zranitelností není jediným možným kritériem pro porovnávání. Lze například srovnávat počet zranitelností na počet řádek kódu a podobně. Mnohdy také jedna oprava na jediném řádku kódu zablokuje další stovky možných potenciálních zranitelností a je pak obtížné říci, že šlo o jedinou chybu.