趋势科技(Trend Micro)在“2016回顾”报告中表示,其公司的零日计划(Zero Day Initiative,ZDI)去年发布了674份漏洞报告,并向提交漏洞报告的研究人员支付奖金近200万美元。

ZDI通过物质奖酬鼓励负责任的漏洞披露,但趋势科技未将获得的漏洞进行转售或再分发。而是利用这些信息保护TippingPoint客户在补丁发布之前免受潜在攻击。
所有这些报告中,其中有54个漏洞在披露之时未进行修补。但其余的漏洞在与受影响厂商协调的情况下得以成功解决。研究人员报告了许多漏洞,但ZDI驳回了近43%。
其中,最令人关注的漏洞包括Internet Explorer (CVE-2016-3382)、Edge (CVE-2016-0158)、Windows (CVE-2016-7272)、OS X (CVE-2016-1806), Flash Player (CVE-2016-7857)和Chrome (CVE-2016-5161)。CVE-2016-1806在Pwn2Own黑客大赛上被披露 。
去年,一些研究人员表现突出,包括kdot(30份报告)、bee13oy(18份报告)、rgod(15份报告)和Steven Seeley(20份报告)。这些专家在厂商解决漏洞时便公开发布十几份其它的报告。发布的报告中,其中有12%是ZDI内部员工提供的。
去年,ZDI共发布674份报告,其中149份涉及影响Adobe产品的漏洞,占总数的22%。值得注意的是,Adobe for Flash Player 在11月“补丁星期二”发布更新,解决了9个漏洞(所有这些漏洞都是ZDI向Adobe报告的)。
令人惊讶的是,工业自动化解决方案提供商Advantech的漏洞报告数量在厂商中排名第二(112份)。排行前10的厂商还包括Microsoft、 Apple、 Foxit、Oracle、Solarwinds、Trend Micro、HPE和Google。

ZDI的Dustin Childs表示,“有趣的事实是,关于苹果产品的漏洞报告在增加。虽然2014年和2015年苹果产品的漏洞报告仅占4%,但2016年,其报告为61份,占比上升至9%。让我们看看2017年这种趋势是否还将继续。”
目前,未来四个月有379份待披露的漏洞报告,这表明2017年发布的漏洞报告数量至少跟2016年一致。