Ci sono alcuni framework che valutano l'impatto sul business delle vulnerabilità tecniche, ma alla fine tutto si riduce alla domanda
How much this specific vulnerability affect my business and to what extend?
Ad esempio, per alcuni siti Web la vulnerabilità di xss potrebbe non essere considerata critica perché non ha messo molto rischio per il loro obiettivo aziendale o per i potenziali clienti, ma per alcuni siti web potrebbe causare la perdita del loro cliente, danneggiare la loro attività obiettivo.
Quindi, prima di accettare ciecamente qualsiasi norma, valuta i tuoi obiettivi di business e l'impatto di eventuali bug tecnici sulla tua attività in base ai tuoi obiettivi di business e quindi categorizza le vulnerabilità di conseguenza