Всмысле открытых. Взяд первый попавшийся https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3645, и видим что он уже пофикшен https://security-tracker.debian.org/tracker/CVE-2014-3645

2014 год — конечно пофикшен

Почему же? Там суммарно WAVM, Chrome, Safari и Firefox. Самый дырявый похоже WAVM

Давай сравнивать за последние 2 года тогда

что бы было честно

вообще степень "безопасность" продукта определяется обычно примерно как в криптографии - т.е. "доверием" людей к ней. Потому что формально пока никак нельзя доказать, что реализация чего-то сложнее a+b безопасна. Поэтому метрика cve здесь такая себе. И да, безопасности джавы слабо доверяют

99.99% того, что есть в cve, пофикшено

max никто вебассембли не пользуется 2 года :) кроме фигмы, я знаю, знаю

фигма молодец и poster child

потому что обычно процесс устроен так, что кто-то сабмитит баг по responsible disclosure, получает за это деньги/kudos, баг фиксят и присваивают сму

Java - 1639 за 2 последних года

https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&query=java&search_type=all&pub_start_date=12%2F18%2F2017&pub_end_date=12%2F18%2F2019

WebAssembly - 35 за 2 последних года

https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&query=webassembly&search_type=all&pub_start_date=12%2F18%2F2017&pub_end_date=12%2F18%2F2019

Java больше используют просто и там в списке большая часть ошибок именно из-за неправильного использования

как безопасник, я полностью поддерживаю утверждение, что количество cve - плохая метрика "безопасности". Да и вообще формально никакой нормальной метрики нет

Это понятно что нет ни одной нормальной метрики ни в какой области, но мерять от «норм с безопасностью» до «не оч» как по мне хуже чем считать колличество cveшек

например, если посмотреть на cve в Windows (например, в ядре) и никсов (любых), то первых будет на порядок больше. Но это не потому, что Windows хуже с безопасностью, а потому что она наиболее valuable target для атакующих. А если сравнивать объективно Windows - лидер по количесву exploit mitigation, сложности эксплуатации, скорости фикса уязвимостей и вообще у них кооперация с исследователями намного лучше.
Лучше метрикой качества защищённости я бы считал стоимость сплойта для конкретного применения технологии.

как по мне это говоит только о том, что над windows работает много людей и команд + нужно разбираться с легаси в котором может быть как раз львиная доля дыр, поэтому там быстро появляются и быстро закрываются дырки. Но что насчет status quo? Я имею ввиду более глобальную тенденцию. За все эти годы проблема с возникновением проблем по моему только усилилась, но никак не разрешилась. В общем это довольно спорная тема что лучше мерять, количество открытых уязвимостей, отношение закрытых к открытым, частоту и т д

хотя стоит отметить, что с syzcaller ситуация в плане количества cve улучшилась в linux

"ак по мне это говоит только о том, что над windows работает много людей и команд + нужно разбираться с легаси в котором может быть как раз львиная доля дыр, поэтому там быстро появляются и быстро закрываются дырки." как в джаве примерно )

мало cve просто говорит о том что никто не атакует — что говорит что никто не пользуется