「しかし、実際には、大半のベンダーは脆弱性の対処にもっと真剣に取り組んでいる。」
ベンダーはたしかにそうかも知れないなあ。「大半の」というところには同意しかねる部分はあるけど（笑）。日本は日本の窓口をいったん経由してどこかに放りっぱなし、というパターンも多いしねえ。
それにWebアプリ方面はまだまだ酷いかも。