Допустим, я знаю об уязвимости какого-то продукта или сервиса. Предположим, я уже пытался связаться с его разработчиками, но пока безуспешно: они либо не видят моё сообщение в тоннах фидбека, либо просто его игнорируют. Могу ли я опубликовать подробности найденной уязвимости и рассказать о ней всему миру? Насколько уместна публикация подробностей пока незакрытых уязвимостей? Вопрос, казалось бы, довольно простой, но всё не так просто! С одной стороны, публикуя подробности уязвимостей, мы привлекаем внимание разработчиков, докричаться до которых обычно не так просто...

04.04.24 выступал на конференции, название доклада - "За границами управления уязвимостями", а основная цель как раз напрямую касается так много склоняемой "результативной безопасности". Продолжительность доклада была 15 минут, поэтому есть ненулевой риск, что мне не удалось разъяснить все, но есть этот блог, где все время мира мое, цели вписываться в какие-либо рамки нет, и есть возможность прояснить все. Презентация доступна в моем канале. Слайд 2 отражает основную цель доклада - изменить отношение к проблеме Управления уязвимостями...