Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (PDF) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (National Vulnerability Database), поддерживаемой Национальным институт стандартов и технологий США (NIST).

Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста интенсивности выявления уязвимостей:

При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:

Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:

При разборе общей массы уязвимостей, которым присвоен высокий у уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:

Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточно проверки входных данных.

При рассмотрении распределения интенсивности выявления уязвимостей по типам продуктов, отмечено, что наиболее активно уязвимости устраняются в Linux (в статье упоминается ядро Linux, но вероятно это опечатка, так как к данной категории отнесены уязвимости, никаким образом не проявляющиеся в ядре, например, XSS и подстановка SQL-кода). Кроме того, все Linux-системы были отмечены в отчёте одной строкой, в то время как системы подобные Windows и Mac OS X были учтены с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).

При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были отсеяны уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.