Zespół pracujący nad popularnym oprogramowaniem serwerowym IRC UnrealIRCd przez pół roku nie zauważył, że wystawiona od pół roku paczka z kodem źródłowym zawiera konia trojańskiego.

To kolejna dość przykra lekcja dla zwolenników teorii, że sama otwartość kodu źródłowego i jego dostępność "dla każdego" przyczyni się do bezpieczeństwa aplikacji (tu dobry przykład). Badanie bezpieczeństwa kodu źródłowego to praca czasochłonna i uciążliwa, a dostępność dla wszystkich dodatkowo skłania do łatwej racjonalizacji, że jak na pewno ktoś inny to zrobił, więc ja mogę sobie to darować. Na szczęście ta teoria jest dość powszechnie odrzucona przez większość ludzi związanych z bezpieczeństwem jak i z open-source.

Z pewnością natomiast znalezienie dziury w programie open-source jest łatwiejsze jeśli już ktoś się zdecyduje na podjęcie tego wysiłku - zamiast zdeasemblowanego kodu mamy kod z komentarzami i oryginalnymi nazwami funkcji. A niezależnie od tego czy pracujemy nad projektem open- czy closed-source, warto go od czasu do czasu skanować, choćby przy użyciu prostych narzędzi jak Yasca.