Nézd, én érzek némi különbséget aközött, hogy
a, mindent is megtaláló credential kereső csodaszoftver, ami mindent is végignéz, aztán meg fél emberév kibogarászni a sok false positive közül a valós találatot, aztán meg nyugodtan hátradőlünk, mert nem tudjuk mennyi a false negative.
b, a CMDB alapján összeállítunk egy véges hosszúságú és kockázatok szerint sorba rendezett listát a szoftvereinkről, majd a dokumentáció alapján ezek credential információit keressük olyan helyeken, ahol az előfordulhat.