Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Уязвимость – это любой недостаток в информационном активе, который может привести к реализации угроз безопасности. 
В области информационной безопасности под уязвимостями принято подразумевать прежде всего технические уязвимости в программном обеспечении, зафиксированные в базах уязвимостей, таких как CVE – Common Vulnerabilities and Exposures от компании MITRE или БДУ – База уязвимостей программного обеспечения ФСТЭК России. 
В SECURITM уязвимости это более широкое понятие. Уязвимостью может быть любое свойство актива, в том числе сам факт его существования. 
У уязвимостей в сервисе нет дополнительных полей и классификаций, как у угроз, за исключением связей с каталогами угроз и значения базовой вероятности реализации.
Вероятность реализации уязвимости оценивается качественно: отсутствует, низкая, средняя, высокая, критическая. 
Стоит отметить, что в процессе тестирования сервиса качественная оценка на уровне конкретных уязвимостей показала свою недостаточную объективность. В большинстве случаев следует переопределять вероятность реализации на уровне конкретных рисков, связанных с уязвимостью т.к. для точной оценки необходим контекст в виде типа актива, в котором содержится уязвимость и угрозы, к реализации которой уязвимость приводит.

Определения уязвимости

Существуют различные определения уязвимости:
уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
ГОСТ Р ИСО/МЭК 27002-2012
3.2.3 уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.
Р 50.1.056-2005
уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.