Un punto importante aquí ... solo porque el código fuente está "filtrado" no significa que sea comparable a Free / Open Source. Si en realidad se filtró (es decir, se diseminó ilegalmente y aún está cubierto por patentes, derechos de autor, NDA, etc.), existe un motivo legal cuestionable para que los buenos lo auditen. En mi opinión, una vez que se filtre, los propietarios / autores deben al menos aceptar legalmente no procesar / demandar a cualquiera que audite el código ahora público.
Soy un administrador de sistemas / desarrollador, que trata casi exclusivamente con código abierto, y paso un poco de mi tiempo en el código que ejecutamos. En cuanto a la pregunta de código abierto que se ha planteado aquí, todos sabemos que los atacantes están ocupados probando y descompilando software propietario. Tiene sentido permitir también que los buenos vean. Si no fuera por otra razón, preferiría que todos recibieran alertas sobre una vulnerabilidad (de manera responsable y con suerte) que los atacantes se enteren hasta que el proveedor decida divulgarla.