El CERT Coordination Center, con siglas CERT/CC fue creado en 1988 en el Software Engineering Institute debido a los problemas creados por el gusano informático Morris. Desde ese momento se convirtió en un centro de coordinación mundial sobre problemas de seguridad.
En un primer momento el CERT/CC siguió una política de no revelación de vulnerabilidades. Su actuación se basaba en recibir la vulnerabilidades de los investigadores, verificarlas, comunicarlas al proveedor y cuando el proveedor arreglaba la vulnerabilidad entonces publicaba los detalles sobre la misma.
En 2001 el CERT Coordination Center publica su nueva política de revelación que podríamos catalogar como de revelación parcial. Cuando la vulnerabilidad es recibida el CERT/CC envía la información al proveedor afectado. A partir de este momento el proveedor dispone de 45 días pasados los cuales el CERT/CC publicará la vulnerabilidad. El periodo de 45 es flexible de modo que puede ser acortado o extendido según las circunstancias (Ej dificultad de realizar el parche o la vulnerabilidad ya es utilizada por un exploit que está activo).
El CERT/CC está en contra de la publicación de exploit porque piensan que tiene más perjuicios que beneficios. Sin embargo su política no define ninguna regla sobre esto.
Algunos investigadores tienen sus dudas sobre si la entidad implementa realmente esta política en todos los casos.