En mi opinión, conocer las vulnerabilidades de software específicas no es tan útil para mejorar la seguridad de su organización como realizar una evaluación de riesgos de TI completa . Después de la evaluación de riesgos, podrá evaluar, de una manera más objetiva, si el principal problema para su infraestructura de TI son las vulnerabilidades del software, la seguridad física, las personas, los procedimientos u otros elementos.
Existen múltiples metodologías y marcos para realizar evaluaciones de riesgo Mita >, OCTAVE , Mehari y otros.
Aquí, en España, Magerit se usa mucho porque se supone que las administraciones públicas deben usarlo para identificar y poder reducir los riesgos para la organización. Magerit incluye un catálogo de amenazas que se pueden usar como una "guía completa de vulnerabilidades de TI generales / comunes", como usted lo formula en su pregunta.