Con el código cerrado no puede hacer mucho más que confiar en el proveedor.
Pero creo que esto no es tanto una discusión sobre código abierto o cerrado, ya que OpenSSL es de código abierto y el error no se descubrió durante años, por lo que esto no es ninguna garantía.
Específicamente para Heartbleed puedes, por ejemplo, desactivar la funcionalidad de latido en OpenSSL, lo que hace que el ataque sea imposible.
En el mundo salvaje he visto compañías, donde sé que sus servidores eran vulnerables, capturando los paquetes de latidos en el nivel del cortafuegos / IDP y haciendo el ataque imposible, ya que ningún paquete de corazones pudo llegar al servidor hasta que pudieron para parchear los servidores.