Het aantal zwakke plekken in software is vele malen groter dan leveranciers bekendmaken, dit zegt een topman van IBM in Automatisering Gids. Terwijl er vorig jaar naar schatting 7200 lekken in software openbaar gemaakt werden, zou het in werkelijkheid om bijna 140.000 fouten gaan. Dat stelt Gunter Ollman, topman beveiligingsstrategie van de IBM-divisie Internet Security Systems.

Het grote verschil komt volgens Ollman onder andere doordat lekken die al wel gemeld zijn bij leveranciers, maar die nog geanalyseerd worden of waarvoor nog geen patch beschikbaar is in de overzichten ontbreken. Daarnaast ontbreken de cijfers van lekken die door softwareproducenten zelf worden gevonden en in stilte worden gepatcht, fouten in niet-Engelstalige software die door analisten niet worden gevonden omdat ze de betreffende taal niet machtig zijn en de lekken die door criminelen worden doorverkocht.

Analisten van McAfee en Forrester vinden Ollmans inschatting geloofwaardig. Er is zoveel software geschreven, bijvoorbeeld door hobbyisten, die toch zakelijk gebruikt wordt. Die software is zelden goed getest. Ook nieuwe technieken als VoIP leveren veel fouten op, aldus een woorvoerder van McAfee in Automatisering Gids.