Aby nie narażać klientów na niepotrzebne ryzyko, Oracle nie będzie udostępniać informacji o lukach w zabezpieczeniach innych niż informacje towarzyszące aktualizacjom Critical Patch Update (lub Security Alert) oraz podane w uwagach poprzedzających wydanie lub instalację oprogramowania, plikach readme i często zadawanych pytaniach. Ponadto Oracle przekazuje wszystkim klientom te same informacje, aby zapewnić im jednakowy stopień ochrony. Oracle nie przekazuje konkretnym klientom powiadomień z wyprzedzeniem. Ponadto Oracle nie tworzy ani nie rozpowszechnia aktywnych kodów umożliwiających wykorzystanie luk w zabezpieczeniach produktów Oracle.