Выделил 2 самых распространенных сюжета в новостях и публикациях по VM.

1. Новость про критическую уязвимость CVSS 9.9 в %Soft­ware%. Никогда так не было и вот опять. Бегите патчить, а то без нашей указки вообще не узнали бы, что у вас такая уязвимость есть. Это конечно говорит о том, что с детектом уязвимостей у вас полный швах — но об этом лучше не думать. В каталоге эксплуатабельных уязвимостей CISA обычно совсем треша не бывает. Можно просто отслеживать что там новенького добавляется и генерить новости чуть ли не автоматически (кстати идея для @avleonovnews 😏).

2. Полурекламные статьи VM вендоров с основной идеей: вам не нужно исправлять все уязвимости. А какие нужно?
* Уязвимости, на которые укажет наша нейроночка, анализирующая 100500 параметров, о которых мы вам не скажем.
* Уязвимости в софтах, которые запускаются или видны в памяти.
* Уязвимости которые укладываются в атаки, которые мы можем симулировать.
Методов много, а суть одна. Давайте лучше не будем говорить о том, что делать муторно, оценить сложно, а продавать не весело. Т.е. о методичном улучшении детектирования и выполнении требований софтверных вендоров по исправлению уязвимостей. Давайте лучше предложим клиентам серебряную пулю, которая решит (якобы) проблему с уязвимостями без особых усилий путем неполного фикса и утверждения, что этого в общем и достаточно.
При этом предлагается не думать о том достаточно ли полно и хорошо детектируются уязвимости. Типа их и так уже дофига, давайте представим, что их и достаточно, а на частные случаи с фолс-негативами закроем глаза. Также предлагается поверить, что именно тот патентованный указующий перст 👈 работает по достаточно чистым данным и достаточно выверенным алгоритмам, чтобы иметь возможность выдавать адекватные рекомендации. Так вот, пока эти wannabe nextgen штуки находятся в области дополнительной приоритизации поверх нормальных детектов и процессов исправления — я отношусь к этому вполне позитивно и даже немного участвую сам (Vul­ris­tics). Но когда бешеные маркетологи начинают делать из этой ещё одной приоритизации истину в последней инстанции, киллер-фичу, список уязвимостей единственно достойных исправления, это, имхо, непрофессионально и требует всяческого порицания. Соблазн велик конечно до такого опуститься, это же ровно то, что клиент хочет. Почти как "гарантировано похудей без диет и упражнений". Но хочется верить, что технарей из этих контор такое безответственное позиционирование тоже коробит.