Ιδιαίτερα επικριτικοί εμφανίζονται οι ειδικοί σχετικά με την τελευταία έκθεση της Secunia, η οποία κυκλοφόρησε στις αρχές του Φεβρουαρίου, παρέχοντας πολύτιμες πληροφορίες σχετικά με τις ευπάθειες του περασμένου έτους.
Η έκθεση “Secunia Vulnerability Review 2014” φέρεται πως περιλαμβάνει στατιστικά που είναι λανθασμένα ή υπό αμφισβήτηση, επισημαίνουν οι ειδικοί.
Σύμφωνα με εκτενές άρθρο που δημοσιεύτηκε στο blog της OSVDB (Open Source Vulnerability Database), η μεθοδολογία που χρησιμοποιήθηκε από την Secunia για τον υπολογισμό του συνόλου των ευπαθειών είναι λανθασμένη, καθώς η εταιρεία δεν μετρά τα αναγνωριστικά CVE, αλλά βασίζεται στον αριθμό των τρωτών σημείων που αναφέρονται μέσω των συμβουλευτικών ανακοινώσεων των εκάστοτε εταιρειών.
Ο αριθμός των ευπαθειών ωστόσο δεν καθορίζεται μέσω των δημόσιων προειδοποιήσεων, έτσι είναι πρακτικά αδύνατο η μέθοδος αυτή να παράγει ρεαλιστικά αποτελέσματα.
Εξάλλου, όπως παραδέχεται και η Secunia, μια συμβουλευτική ανακοίνωση μπορεί να αφορά αρκετά προϊόντα μιας εταιρείας, και πολλαπλές ανακοινώσεις μπορεί να καλύπτουν την ίδια ευπάθεια, καθιστώντας τα αποτελέσματα της έρευνας μη αξιόπιστα.
Η πλήρη έκθεση σχετικά με τα στοιχεία της έρευνας της Secunia που αμφισβητούνται από τους ειδικούς είναι διαθέσιμη στο blog της OSVDB.
