Hola a todos,

Cualquier programa ya sea el una WEB, un OS, el backend de una API, etc. Que creen que es más seguro: ¿que el programa sea open source o que no lo sea?

Mi opinión personal en este tema es que al auditar a cualquier programa siempre es mejor optar por una White-Box approach más que una Black-Box, ya que usualmente a través de una White-Box se descubren muchas más vulnerabilidades. Entiendo que muchas empresas no publican su código ya que aparte de sufrir hackeos en masa expondrían grandes inversiones en I+D para todo el mundo.
Por eso creo que cuando se esta desarrollando un programa que aun no está en producción, es mejor publicar su código para que se le encuentren todos los fallos en la fase de desarrollo y no en la de producción. De esta manera, cuando el programa entre en producción será mucho más seguro dada su naturaleza open source.

Claros ejemplos de Software open source pueden ser Wordpress, Moodle o Drupal donde se han encontrado fallos en sus inicios, pero dada su naturaleza open source me atrevería a decir que es software donde es bastante complicado encontrar un fallo crítico de seguridad(en el core, dejando obviamente a parte los plugins).

Ejemplos de Software que no es open source pero que sin embargo se le han ido encontrando vulnerabilidades podría ser el Java SAP Netweaver o incluso el OS de Windows. Donde de vez en cuando se van encontrando fallos.

¿Que piensan ustedes?

Espero su respuesta,

Gracias.