Das Schwachstellen-Management definiert den Lebenszyklus zum Identifizieren, Priorisieren und Beheben von Schwachstellen. Basierend auf verschiedenen Risikofaktoren sollten die kritischen Bedrohungen priorisiert behoben werden. Das Ziel ist es die Schwachstellen zu beheben, sodass diese kein Risiko mehr darstellen können.
Neu entdeckte oder gemeldete Schwachstellen stehen am Beginn des Prozesses. Mögliche Quellen hierfür sind Schwachstellenscanner oder Security-Advisories der Hersteller. Diese neu entdeckten Schwachstellen werden zu diesem Zeitpunkt anhand ihres technischen Risikos bewertet. Der nächste Schritt erfordert eine Bewertung des tatsächlichen Geschäftsrisikos für die betroffenen Vermögenswerte. Bestehende Kontrollen und mildernde Faktoren könnten die Risikobewertung verringern. Preisgabe oder Compliance-Anforderungen können die Risikobewertung erhöhen.
Die Anzahl der von einem Schwachstellenscanner gemeldeten Befunde ist üblicherweise hoch. Außerdem werden regelmäßig neue Security-Advisories veröffentlicht. Zusammen mit der Anzahl der Assets innerhalb eines Unternehmens kann dies zu einer hohen Arbeitsbelastung führen. Zur Unterstüzung für den Prozess wird ein Tool empfohlen. Im Open-Source-Bereich gibt es derzeit kaum Projekte.