そりゃ、その期間にどれだけ叩かれたか？ちう指標がないと、やっぱり「これしか出てません」と出されて「はいそうですか」というわけにはいかないですね。
ソフトウェアの試験でも、

• どれだけの密度*1で試験を実施して
• どれだけのバグが出ました

とやるわけで*2。
個人的には、「どんだけ使われてる」というのを加えたいところ。具体的には

• 320日という期間で発見された脆弱性の数

というのに加え、

• その期間に出荷されたライセンス数

を評価指標に加えて、320日間に「1つの脆弱性をたたき出すまでに出荷したライセンス数」というのを見るのはいいんじゃないかなぁとか思ったりしてます。
このライセンス数が多ければ多いほど、（確率的には）多く使われないと出てこないような潜在バグしか残ってないようにも見えますしね。

もっとも、こういう品質上の指標って、一つ間違えると数字遊びになりかねないあたりが頭痛のタネ。実際に使って使えるのが一番重要〜。