YamaKen さんに返事を頂いたからという訳ではないのですが、ちと追記。
#むしろ、YamaKen さんのお話とは方向性が違ってたりする。
市販アプリケーションの場合、自社開発や外注でフルスクラッチ?した場合に比べ、ユーザー側でコントロールできないことのほうが多いでしょう。
たとえば、アプリケーションの動作環境等はその際たるものでしょう。
#自社開発や外注でフルスクラッチ?した場合でも、コントロールはできるが金額の折り合いが付かず断念というのも十分考えられるわけですが。
少なくとも、再配布モジュールを組み込んで商売をされているメーカーにおいては、再配布モジュールのセキュリティアップデート時には自社アプリの動作検証及び対応状況の公表をしてもらいたいなと思います。
小規模な事業所向けのそういったアプリケーションを使うであろう現場では専任の管理者もいないでしょうし、むしろ「セキュリティってよく解らない」って方のほうが多いでしょう*1。
年間サポート費用を取っているのであれば、むしろそういう点も含めてきっちりサポートすべきでしょう。サポート費用を払っていない顧客に対してはWebでの告知だけでもするべきです。
これは再配布モジュールに限った話ではないです。Windows に限れば、アプリケーションの導入環境として OS の Service Pack であったり、Internet Explorer のバージョンを細かく指定するものあがります。このようなアプリケーションも Service Pack や Internet Explorer の新版や修正プログラムのリリースに合わせて導入環境の検証、対応状況の公表などを行うべきでしょう。

上記については、当方も開発経験がまったく好き勝手に書いていると重々承知しています。可能であれば、開発現場に身を置く人の意見もお聞きしたいですね。m(_ _)m