A la luz de fiasco actual alrededor de TrueCrypt , he recibido críticas considerables de clientes y colegas actuales en la industria de TI por mi continuo apoyo al modelo de código abierto . Estas críticas generalmente se combinan con un diálogo continuo sobre las virtudes y fallas del modelo de código abierto después de episodios como heartbleed . He intentado señalar que a pesar de muchos artículos de noticias que etiquetan a TrueCrypt como de código abierto, fuente disponible que se encuentra en Wikipedia es más correcta.
Junto con esa distinción, he argumentado que tener el código fuente disponible para revisión es inherentemente más seguro que no, pero que no debe sugerir el mismo nivel de confianza que un proyecto que sigue un modelo de desarrollo de código abierto, incluido Permitiendo la redistribución del trabajo modificado. Si bien mi instinto me dice que esta es una posición razonable, la diferencia es sutil y mi capacidad para comunicarla de manera convincente es limitada.
¿Hay más evaluaciones concretas para continuar que solo mi instinto aquí? ¿Existe una diferencia medible en la seguridad relativa de las aplicaciones disponibles de origen frente a las verdaderas contrapartes de código abierto? Si es así, ¿está bien establecido qué factores contribuyen exactamente a esto? ¿Qué pasa con el modelo de desarrollo del sistema operativo que da como resultado un código más seguro que el simple lanzamiento de un código para su revisión? ¿O esto se reduce a la opinión final?
Editar: ¿Hay alguna diferencia si el software específico en cuestión está relacionado con la criptografía?