En tant qu’ANC, Keeper a la capacité d’attribuer directement des ID CVE et de publier des enregistrements CVE pour les vulnérabilités découvertes dans son propre code source et les vulnérabilités dans les logiciels de tiers découvertes par l’équipe de Keeper qui ne sont pas dans le champ d’application d’un autre ANC. Keeper peut ensuite publier ces informations sur la liste CVE, que les professionnels des technologies de l’information et de la cybersécurité du monde entier utilisent pour coordonner leurs efforts en vue d’établir des priorités et de remédier aux vulnérabilités.

Le CVE est parrainé par l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du ministère américain de la sécurité intérieure (DHS). La CISA utilise la liste CVE pour compiler son catalogue de vulnérabilités connues et exploitées, que les organisations utilisent pour donner la priorité à la correction des vulnérabilités répertoriées, réduisant ainsi la probabilité d’une compromission par des acteurs connus de la menace. La liste CVE alimente également la base de données nationale américaine sur les vulnérabilités du National Institute of Standards and Technology (NIST), qui est le référentiel gouvernemental des données de gestion des vulnérabilités basées sur des normes et représentées à l’aide du protocole Security Content Automation Protocol.

Keeper Security s’engage à respecter les bonnes pratiques de l’industrie en matière de divulgation responsable des problèmes de sécurité potentiels. Keeper prend au sérieux la sécurité et la confidentialité de ses clients et s’engage à protéger leurs données personnelles. La sécurité des utilisateurs est au cœur des valeurs de Keeper en tant qu’organisation. Keeper apprécie l’apport des chercheurs de bonne foi et croit qu’une relation continue avec la communauté de la cybersécurité aide à assurer la sécurité et la vie privée des utilisateurs, et fait de l’Internet un endroit plus sûr dans l’ensemble. Cela implique d’encourager les tests de sécurité responsables et la divulgation des failles de sécurité.

Keeper effectue des tests trimestriels de pénétration des applications sur tous ses produits et systèmes avec des testeurs de pénétration tiers, y compris NCC Group et Cybertest. Il s’agit notamment de tests de pénétration de type équipe rouge sur des systèmes internes et externes avec un accès complet au code source. Keeper a également établi un partenariat avec Bugcrowd pour gérer son programme de divulgation des bugs et des vulnérabilités (VDP), qui récompense les pirates informatiques éthiques qui découvrent et signalent des vulnérabilités, en s’appuyant sur la communauté des pirates pour maintenir en permanence les normes de sécurité élevées de Keeper.