Quale frazione di bug del software sono vulnerabilità della sicurezza? Ovviamente, i bug del software possono essere vulnerabilità della sicurezza - ma ovviamente, molti bug del software hanno poco o nessun impatto sulla sicurezza. Esistono dati (o regole empiriche) su una percentuale approssimativa di bug di software che sono anche vulnerabilità della sicurezza? O un intervallo di valori approssimativo?