Os pesquisadores de ameaças acreditam que todas as grandes organizações, incluindo o governo dos EUA, deveriam ter um programa VDP. “Na cara, [CISA’s program is] é ótimo”, disse Dustin Childs, chefe de conscientização sobre ameaças da Zero Day Initiative da Trend Micro, ao CSO. “Todas as empresas, especialmente qualquer empresa tão grande como o governo dos EUA, deveriam ter uma plataforma de divulgação de riscos.”
Grant Bourzikas, CSO da Cloudflare, também vê o VDP da CISA de forma favorável. “Procedimentos e diretrizes como o VDP da CISA são um passo em direção à redução de riscos e à mudança rápida”, disse ele ao CSO. “O acesso a uma plataforma unificada que toma medidas para reconhecer, avaliar e abordar vulnerabilidades divulgadas publicamente ajudará as equipes de segurança com priorização e visibilidade e avançará em medidas proativas.”
Muitos programas governamentais de VDP incentivam a confusão
Embora o VDP da CISA possa ter um amplo alcance em termos da maioria das agências federais, outras importantes agências governamentais dos EUA, incluindo o Departamento de Defesa, o Departamento de Comércio, o Departamento de Educação, o Departamento de Estado e o Departamento de Justiça dos EUA, têm os seus próprios. sistemas VDP separados. HackerOne fornece a tecnologia subjacente para muitas dessas plataformas VDP não CISA.
