"Sicurezza per oscurità" è una delle espressioni più comunemente usate (a volte usate impropriamente) nel settore della sicurezza. La frase è supportata dando esempi come, lasciando aperta la porta di servizio della tua casa, come nessuno lo sa o come tenere la chiave della tua casa sotto il tappetino della porta o in una fioriera vicino alla porta.
Come per wikipedia , l'origine della frase può essere fatta risalire al principio di Kerckhoff, " un sistema dovrebbe essere sicuro a causa del suo design, non perché il design è sconosciuto ad un avversario ".
Un esempio del genere che ricordo è crittografia e autenticazione processo in Whatsapp messenger (sebbene in caso di crittografia, potrebbe essere un caso di implementazione crittografica male informata, ma considerando che è una società ben finanziata e ancora priva di aspetti così importanti, mi fa pensare anche su linee di "sicurezza per oscurità" ).
Come da wikipedia, NIST nel suo documento su " Guida alla sicurezza del server generale" parla di questo principio di sicurezza. Bruce Schneier in questo articolo parla anche di questo. Ci sono molti altri riferimenti su wikipedia come, Peter Swire, Jay Beale ecc.
Questo porta alla parte importante della domanda, dimostra che l'open source è migliore di closed source. Dal mio punto di vista, dipende dalle dimensioni del progetto, dal numero di sviluppatori che lavorano, dal background degli sviluppatori e dal controllo di qualità praticato. Non c'è modo di dire quale è più sicuro dell'altro, solo guardando il modello di sviluppo usato. Storicamente, entrambi i campi hanno una storia a scacchi.