Un cliente chiede alla mia azienda di redigere standard interni che il software open source deve soddisfare prima di approvarlo per l'uso sulle nostre workstation. La nostra politica è sempre stata soggettiva e difficile da quantificare. Utilizziamo prodotti molto apprezzati e altamente affidabili come GPG, Ruby e 7-Zip, e diffidiamo di nuovi progetti non provati. Come parte di una politica più ampia che descrive anche questo test "altamente attendibile", mi piacerebbe essere in grado di puntare a una fonte di terze parti che fornisca una sorta di valutazione dei prodotti OSS. Mentre è abbastanza facile trovare fonti che ti dicono quando un prodotto è non considerato sicuro, sembra più difficile trovare un posto che ti dirà che lo è. Qualcuno sa di una fonte che ci darà qualche conferma (o confutazione) di terze parti alle nostre opinioni sul fatto che alcuni prodotti sembrano consolidati e affidabili?
Si noti che sono a conoscenza degli argomenti sulla sicurezza relativa di OSS rispetto ai prodotti closed source, ma non è pertinente qui; il cliente è più diffidente nei confronti dell'OSS e non c'è nulla che io possa fare al riguardo.