Задал тут как-то я Сергею Гордейчику, техническому директору Positive Technologies вопрос о проведении их командой исследования на уязвимости различных продуктов. Он мне ответил следующее:

Мы ежегодно собираем, анализируем и публикуем Статистику уязвимостей Web-приложений: http://www.ptsecurity.ru/stat2007.asp , http://www.ptsecurity.ru/webstat2006.asp, отчет будет готов и за 2008 год.

При этом, мы в Positive Technologies ответственно относится к результатам исследований в области безопасности, и используемая политика разглашения направлена на минимизацию возможного ущерба от нецелевого использования этой информации.

Наш подход в этом вопросе:

1. Обязательно связываемся в вендором и работаем над устранением проблем.

2. Публикация информации об уязвимости осуществляется вендором.

3. Мы предпочитаем публиковать статистические данные.

4. Детальная информация публикуется только в случае, если мы считаем её неординарной, например, если это новый класс атак (http://www.ptsecurity.ru/wepoff.asp, http://www.securitylab.ru/analytics/312606.php), либо они затрагивают большое количество клиентов http://www.securitylab.ru/analytics/283136.php, либо затрагивают «неординарные» области http://www.ptsecurity.ru/webwids.asp .

Собственно, они уже опубликовали новое исследование работы XSS-фильтра в IE 8b - с ним можно ознакомиться здесь.