La teoria è da tempo che i gestori di pacchetti (e potenzialmente altre fonti di FOSS) erano potenzialmente "più sicuri" e / o "più affidabili" del software commerciale perché gli occhi di molte persone sono stati sul codice e ci sono più persone che trovano problemi.
Alcune grandi compagnie di sicurezza hanno fatto e pubblicato uno studio completo delle reali differenze di sicurezza tra queste sorgenti software, per includere elementi come la frequenza con cui vengono rilevati i bug e la velocità con cui sono corretti i bug [principali]?