Sappiamo della legge di Linus:
With enough eyeballs all bugs are shallow
In generale, le persone sembrano dire che il software open-source è più sicuro proprio per questo, ma ...
Ci sono molti piccoli progetti OSS con solo 1 o 2 sviluppatori (il modello di cattedrale, come descritto da ESR). Per questi progetti, rilasciare il codice sorgente in realtà riduce la sicurezza? Per progetti come il kernel di Linux ci sono migliaia di sviluppatori e le vulnerabilità di sicurezza sono molto probabili, ma quando alcune persone guardano attraverso il codice sorgente, permettendo ai cracker (black hat hacker) di vedere anche la fonte, è la sicurezza è stata abbassata invece che aumentata?
So che il vantaggio in termini di sicurezza che il software closed-source ha sull'OSS è la sicurezza attraverso l'oscurità, che non è buona (del tutto), ma potrebbe aiutare in una certa misura, almeno dando a quei pochi sviluppatori un po 'più di tempo ( la sicurezza attraverso l'oscurità non aiuta con il se ma con il quando).
EDIT: La questione non è se l'OSS sia più sicuro del software non-OSS ma se i vantaggi per i cracker siano maggiori dei vantaggi per gli sviluppatori che vogliono impedire che le vulnerabilità della sicurezza vengano sfruttate .