Per la maggior parte dei progetti open source, c'è un team di progetto ben fondato e sponsorizzazioni aziendali e molti collaboratori attivi. La procedura per l'archiviazione delle segnalazioni di errori è chiaramente documentata.
Tuttavia, ci sono anche alcuni progetti open source che esistono da più di 10 anni (forse 15), e sono stati inclusi in tutti i tipi di prodotti gratuiti e commerciali (SO e distro Linux, ecc.), e tutti pensano che sia corretto, nonostante alcune parti di esso in uno stato di disperazione e pieno di bug.
Mi sembra che i veri utenti (programmatori in-the-know) scelgano semplicemente di usare la libreria in un certo modo per non far scattare il bug. Pochi scelgono di parlare.
Esistono anche grandi aziende che risolvono i bug tranquillamente (nei loro prodotti) senza distribuire patch. E usa questo per il loro vantaggio commerciale.
Non esiste uno sviluppatore leader. Non ci sono informazioni su chi sono gli sviluppatori attivi, eccetto che puoi sfogliare la mailing list e vedere chi ha recentemente inviato le patch, e supporre che potrebbero conoscere qualcuno che sia utile.
Come dovrei gestire un caso di vulnerabilità, senza divulgare informazioni in modo da fornire munizioni ai cattivi?
Questa domanda è uno spin-off di: link