История изменений

Не путай «нашли ошибку» и «внедрили ошибку». Найденная сегодня ошибка в коде 30-летней давности была там все эти 30 лет. И все эти 30 лет он работал и всех устраивал. От того, что ошибка стала известна, он свои задачи хуже выполнять не станет.

За одним единственным исключением: ошибка связана с уязвимостью + система с этим кодом имеет контакты с публичной сетью. Но и тут тоже всё не так как ты сказал. Код не «протух» в момент открытия уязвимости. Код был плохим всегда, и надо проводить аудит за прошедшие 30 лет на предмет взломов. Потому как взломщики не обязаны ждать опубликования уязвимости для её эксплуатации.

Не путай «нашли ошибку» и «внедрили ошибку». Найденная сегодня ошибка в коде 30-летней давности была там все эти 30 лет. И все эти 30 лет он работал и всех устраивал. От того, что ошибка стала известна, он свои задачи хуже выполнять не станет (за одним единственным исключением: ошибка связана с уязвимостью + система с этим кодом имеет контакты с публичной сетью).