#39 No es una leyenda urbana, es una realidad. Te lo digo porque yo he trabajado en ambos entornos (libre y cerrado) y es algo que canta de lejos.
En un código libre basado en repositorio de código (vamos, todos), no tienes más remedio que ir publicando uno a uno todos tus fallos de seguridad para poder corregirlos. La misma aplicación del parche, en última instancia, deja constancia de que había un fallo de seguridad. Todo el mundo tiene acceso al código para poder revisarlo. Todo el mundo tiene acceso al listado de bugs para confirmar/parchear.
En un código cerrado, sólo vas a tener constancia de los bugs que o bien terceras partes (Google como mencionas) decidan hacer públicos o bien ellos mismos decidan avisar. Del resto de bugs (los que por ejemplo aún no han sido "descubiertos" pero son obvios en el código, los FIXME, los TODO, los que son tan graves que prefieren no avisar hasta que esté el parche, etc...) sólo vas a tener constancia de ellos cuando salga el parche y si deciden hacer un parche de seguridad independiente (no sería la primera vez que se "empaquetan" más de un bug en el mismo parche para que parezcan menos).
Además, que un código libre suele ser más rápido de arreglar los errores, simplemente porque cualquiera puede enviar el parche para que se lo validen. En un código cerrado sólo el personal de la empresa puede parchear bugs. No hay más que ver los tiempos de respuesta en bugs críticos desde que el bug "se sabe" (que no necesariamente se publica) hasta que se corrige.
En un código libre basado en repositorio de código (vamos, todos), no tienes más remedio que ir publicando uno a uno todos tus fallos de seguridad para poder corregirlos. La misma aplicación del parche, en última instancia, deja constancia de que había un fallo de seguridad. Todo el mundo tiene acceso al código para poder revisarlo. Todo el mundo tiene acceso al listado de bugs para confirmar/parchear.
En un código cerrado, sólo vas a tener constancia de los bugs que o bien terceras partes (Google como mencionas) decidan hacer públicos o bien ellos mismos decidan avisar. Del resto de bugs (los que por ejemplo aún no han sido "descubiertos" pero son obvios en el código, los FIXME, los TODO, los que son tan graves que prefieren no avisar hasta que esté el parche, etc...) sólo vas a tener constancia de ellos cuando salga el parche y si deciden hacer un parche de seguridad independiente (no sería la primera vez que se "empaquetan" más de un bug en el mismo parche para que parezcan menos).
Además, que un código libre suele ser más rápido de arreglar los errores, simplemente porque cualquiera puede enviar el parche para que se lo validen. En un código cerrado sólo el personal de la empresa puede parchear bugs. No hay más que ver los tiempos de respuesta en bugs críticos desde que el bug "se sabe" (que no necesariamente se publica) hasta que se corrige.