Storicamente, il movimento open source non riguarda la sicurezza ma la libertà . Fondamentalmente, Richard Stallman era molto costernato di non essere in grado di giocherellare con la sua stampante perché la fonte del driver non era disponibile.
La posizione di OpenBSD sull'essere "sicuro" non deriva dall'essere open source, ma su un l'obiettivo e l'impegno a fare le cose correttamente per quanto riguarda la sicurezza (ancora storicamente, OpenBSD è nato perché alcuni sviluppatori di NetBSD erano molto più bravi a programmare che a gestire relazioni pacifiche da uomo a uomo).
L'associazione tra sicurezza e open source è più recente. In effetti, fin dall'inizio, è stato spiegato come un concetto incompleto (vedi le famose Riflessioni sulla fiducia in fiducia di Ken Thompson). Un elemento della discussione è la Legge di Linus che dice:
visti un numero sufficiente di occhi, tutti i bug sono superficiali
L'idea centrale è che, con un numero sufficiente di revisori, verranno rilevati bug, e questo si estende ai bug relativi alla sicurezza. Ciò vale, tuttavia, solo in base alla premessa che sono revisori. Il software open source semplifica le revisioni esterne, ma ciò non significa che le revisioni esterne avvengano effettivamente. Quando è stata l'ultima volta che hai letto il codice sorgente esistente?
Caso in questione: OpenSSL. Dopo che è stata trovata un'altra vulnerabilità nella base del codice, è stato creato un fork, chiamato LibreSSL, e hanno iniziato uno sforzo di revisione esplicito, che ha trovato diversi problemi seri nella base del codice. Questi problemi erano presenti da anni, proprio nel mezzo di una libreria che si può dire essere una delle librerie più importanti relative alla sicurezza nell'ecosistema Linux. Quindi questo era open source, e tuttavia non era (del tutto) sufficiente per ottenere un corretto rilevamento delle vulnerabilità.
Quindi, ovviamente, l'open-source aiuta con la sicurezza, ma non quanto si può sperare.
Ciò che realmente porta l'open source è un rischio molto maggiore per le persone che vogliono installare volontariamente backdoor. È difficile creare codice che sembri innocuo per i revisori e continui a fare cose cattive (esiste un concorso per tale codice).