Incidente de segurança e vulnerabilidade de segurança são termos bem definidos na área e se tratam de coisas distintas, não é passível de subjetividade nem opinião.

Infere-se a possibilidade de uso para o report de vulnerabilidades como a citada pelo autor.

Não existe essa interpretação, está totalmente claro na página que o canal de comunicação é para relatar incidentes de segurança e não para reportar vulnerabilidades de segurança. Vou repetir: a diferença entre incidente e vulnerabilidade é clara e bem definida na área, conforme comprovado pelas referências no final deste comentário.

Além disso, está bem claro na página que o canal de comunicação é de uso exclusivo pelo SISP. Mesmo que fosse um incidente de segurança (não é), a menos que o autor do post faça parte do SISP ele não deve usar esse canal. Se ele fizesse parte do SISP, não teria feito este post.

No mais, sobre esta questao "relatar ou nao relatar", acredito que foi tratada de forma eloquente faz algum tempo por filosofos:

Isso não tem nada a ver com ética. Vários outros já relataram antes. As vulnerabildiades não foram corrigidas. A única coisa que mudou é que ganharam processos e investigações.

Quer reportar como anônimo? Tá bom, vai na fé. Mas não vai mudar absolutamente nada. Será só mais um email ignorado.

Entenda, colega: Os sistemas do governo brasileiro não são cheios de vulnerabilidade por falta de gente reportando. Tem gente até demais reportando... O buraco é bem mais embaixo. Bem mesmo.

Referências:

• https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
• https://cdn.standards.iteh.ai/samples/78973/38e0e742e02741ba856510f74aa9f23b/ISO-IEC-27035-1-2023.pdf (ISO/IEC 27035)
• https://csrc.nist.gov/glossary/term/security_incident
• https://learn.microsoft.com/en-us/compliance/assurance/assurance-incident-management