ich habe für B gestimmt, weil ich der Meinung bin, wenn man Sicherheitslücken finden will, muß man auch die Methoden der "Faker" kennen.
Jedoch: als 1. nur den Bugfix posten und erst nach einer gewissen Zeit Proof of concept, weil jeder mal Urlaub haben kann, krank ist o.anderweitig nicht dazu kommt. ein Minimum von 2 Wochen halte ich daher für angebracht.

Auch ok finde ich, wenn man öffentlich macht, welches addon und von welchem Programmierer.