Qualsiasi risposta a questo sarà pura speculazione: non c'è una risposta giusta.
Detto questo, la mia opinione è che OpenSSL è almeno buono come qualsiasi libreria crittografica a codice chiuso. Considera che github elenca 175 contributori al progetto openssl e 1.442 forchette, mentre Google studioso trova 17.400 articoli accademici per " OpenSSL". Vai avanti e trovami una libreria crittografica a codice chiuso che ha ricevuto tante ore di sviluppo uomo e tanto controllo accademico!
Il solito argomento a favore della crittografia a codice chiuso è che mentre ci sono quasi certamente più bug e vulnerabilità, si spera che rimangano sconosciuti. Per me, non è molto rassicurante.
Dici anche:
But how about malicious code that might get in?
Direi che è in realtà più facile ottenere backdoor inseriti in codice closed-source. Il governo paga (o ordina il tribunale) una società, il software backdoor viene distribuito. L'unico esempio di ciò che conosco (perché è stato esposto) è lo scandalo Dual EC DRBG di RSA Security , secondo per Wikipedia:
According to the Reuters article which revealed the secret $10 million deal between RSA Security and NSA, RSA Security's BSAFE was most important distributor of the [Dual_EC_DRBG] algorithm.2
Al contrario, il kernel linux aveva un famoso tentativo di backdoor in 2003 in cui un utente malintenzionato ha rubato le credenziali al server di controllo del codice sorgente backup e ha inviato un cambio di codice sperando che sarebbe volato sotto il radar e messo in produzione. Questo è uno sforzo molto maggiore che consiste nel pagare una società e è stato catturato entro 24 ore - con uno dei miei messaggi preferiti di lista di posta di tutti i tempi:
it looks like an attempt to backdoor the kernel, does it not?
It sure does. Note "current->uid = 0", not "current->uid == 0".
Good eyes, I missed that. This function is sys_wait4() so by passing in
__WCLONE|__WALL you are root. How nice.