Per rispondere alla tua domanda, ho bisogno di menzionare un altro prodotto opensource (OpenSSL) per fare un parallelo con Linux e altri progetti opensource ; quindi lascia che ti presenti una breve storia e spero tu capisca la logica:
HeartBleed è un vulnerabilità introdotta per la prima volta Stephen Henson solo un'ora prima del 2011, capodanno . Per essere più precisi è Robin Seggelmann , che era allora un dottorato di ricerca. studente dell'Università di Duisburg-Essen che ha sviluppato l'estensione HeartBeat per OpenSSL ( HeartBeat era già presente in SSL2.0 specifica) e l'ho suggerito al comando OpenSSL progetto dello sviluppatore Stephen Henson che non è riuscito a trovare il bug e lo ha commesso sul suo repository. Altri suggeriscono che questa vulnerabilità era conosciuta e sfruttata molto tempo fa prima di essere annunciata pubblicamente.
Ma perché dico questo? Per farti sapere che con il software open source almeno puoi sempre controllare da solo, specialmente se lavori in questo campo di sicurezza, se c'è qualcosa di sbagliato. Il bug HeartBleed è sempre stato visto pubblicamente quindi, in teoria, qualsiasi persona interessata potrebbe rilevarlo prima di Ricercatore di Google Security il 7 aprile 2014. Ma in pratica nessuno lo ha fatto (o forse è stato lui a scoprirlo a non divulgarlo e ha preferito approfittane per i loro obiettivi personali.
Questo breve racconto si applica a tutti i software open source: in teoria ti offre la possibilità di controllare tutto da solo o con il tuo team e nulla può impedirti di farlo. Questo è già un grande vantaggio e così tante vulnerabilità di sicurezza sono state prevenute dalle comunità benevoli. Ma in pratica: quante persone (sto parlando di quelli che lavorano nel campo della sicurezza) hanno tempo e competenze richieste per farlo? E nel caso qualcuno scoprisse una vulnerabilità di sicurezza in un progetto open source: avrebbe la volontà di rivelarlo o semplicemente approfittarne? Tuttavia, c'è una cosa importante da ricordare su HeartBleed: solo Stephen è stato uno sviluppatore permanente, 11 altri membri del progetto OpenSSL non hanno nulla a che fare con l'informatica, e solo un altro sviluppatore lo ha aiutato di volta in volta direttamente, a differenza altri grandi progetti opensource come Ubuntu che hai citato, quindi teoricamente tale natura dei rischi potrebbe essere inferiore in questo caso.