Alla luce del fiasco corrente circostante TrueCrypt , ho ricevuto notevoli critiche da parte di clienti e colleghi attuali nel settore IT per il mio continuo supporto al modello open source . Tali critiche sono solitamente accorpate al dialogo in corso sulle virtù e i fallimenti del modello open source a seguito di episodi come heartbleed . Ho cercato di far notare che nonostante molti articoli che etichettano TrueCrypt come open-source, etichetta disponibile alla fonte trovata su Wikipedia è più corretta.
Insieme a questa distinzione, ho sostenuto che avere il codice sorgente disponibile per la revisione è intrinsecamente più sicuro, ma che non dovrebbe suggerire lo stesso livello di fiducia di un progetto che segue un modello di sviluppo open-source che include permettendo la ridistribuzione del lavoro modificato. Mentre il mio istinto mi dice che questa è una posizione ragionevole da prendere, la differenza è sottile e la mia capacità di comunicarlo in modo convincente è limitata.
Ci sono più valutazioni concrete da fare oltre al mio budello qui? C'è una differenza misurabile nella sicurezza relativa delle applicazioni disponibili alla fonte rispetto alle controparti open source reali? Se è così, è ben stabilito quali fattori contribuiscono esattamente a questo? Per quanto riguarda il modello di sviluppo del sistema operativo in particolare, si ottiene un codice più sicuro rispetto al semplice rilascio del codice per la revisione? O questo si riduce a un'opinione alla fine?
Modifica: fa alcuna differenza se il software specifico in questione è correlato alla crittografia?