Se me ha pedido que compile una lista del número de vulnerabilidades o vulnerabilidades web publicadas agrupadas por plataforma.
Con el entendimiento y la advertencia de que los números son solo estadísticas, no deben usarse para predecir el futuro, son totalmente injustos, son peores que las mentiras y las malditas mentiras, y probablemente matarán a su gato, etc., etc. : ¿Existen estos números en algún lugar? ¿Cómo se puede compilar tal lista?
Mi intento
Pensé que la base de datos CVE era un buen lugar para comenzar; puede descargar su base de datos completa en formato CSV y luego sologrep
it. Lo que parecía bastante razonable, excepto que parece que no hay suficientes datos en cada fila.Por ejemplo, de los 59 CVE de este año que mencionan "Wordpress", hay 14 que no contienen las letras "php". Así que claramente grepping para "php" no obtendrá el resultado correcto. Probablemente ninguno de los otros lo hará.
Los datos no tienen que ser perfectos, solo tienen que estar razonablemente justificados (es decir, no sacados de su derriere ), y lo más importante es que la medición debe ser neutral (es decir, no debería es obvio que no favorece ni penaliza ninguna plataforma dada, excepto en la medida en que cualquier plataforma es naturalmente más popular que otra.
Los números recientes (el año pasado, este año, lo que sea) serían los mejores, pero lo que exista es incluso mejor.