Это отдельный процесс и не очень простой .
Как и где искать эти уязвимости? Читать секлаб?
Как оценивать?. (С учётом обычно скудности первичных данных)
Ну и конечно главное пойди попробуй быстро обновить библиотеки в вебе. Там будет риск получить очень длинные сроки обновления, это вам не Винду пропатчить.
Конечно тут надо смотреть вкупе с разными дополнительными методами
читать секлаб ну и просто ленту новостей
оценка: если какой то билд ПО уязвим, то смотрим какие активы используют это ПО и оповещаем об уязвимости.
согласен, что с самим обновлением могут проблемы возникнуть)
Вопрос в том, должна ли информация по обращению с zero-day фигурировать в документе, который посвящен vuln management в компании, или это решается по факту выявления и на уровне электронной почты?
