Un audit del codice dovrebbe essere considerato solo come un controllo temporale, e non dovrebbe essere considerato una garanzia futura. È possibile che alcuni prodotti abbiano effettuato una verifica o una revisione da parte di terzi e che possano rendere disponibile tale rapporto, ma nuove tecniche o metodi, tempistiche e budget diversi potrebbero comportare l'individuazione di ulteriori bug in seguito. Alla fine, potrebbero non aver trovato nulla.
Per motivi legali, è improbabile che qualcuno rilasci una garanzia, una garanzia o una recensione del codice. Più utile sarebbe una revisione del processo di sviluppo per test, controlli, procedure e revisioni in corso.
Ciò che potresti essere in grado di trovare è la documentazione delle vulnerabilità esistenti e delle patch che puoi applicare, recensioni, discussioni, ecc. Se puoi verificare il checksum / hash di un JAR ottenuto con quello fornito dallo sviluppatore, questo può darti un po 'di fiducia. Se si tratta di un popolare progetto Open Source, è probabile che le persone si lamentino o pubblichino patch se viene rilevata una vulnerabilità o una vulnerabilità. Potresti anche ottenere una certa garanzia da un JAR firmato. Vuoi firmare qualcosa in cui hai inserito una backdoor come sviluppatore originale?
Inoltre, pochissime licenze open source forniscono alcuna garanzia e potrebbero persino non garantire alcuna idoneità. È necessario assumere un rischio calcolato sull'autore del codice, sul servizio che fornisce l'origine o l'eseguibile e sui requisiti dell'applicazione. Dovresti anche avere una ragionevole sicurezza nei firewall, AV, ecc. Del tuo stesso ambiente per bloccare o identificare le minacce.
Infine, è probabile che la maggior parte delle recensioni venga attivata dalla personalizzazione del codice aperto, non dal pacchetto base.