Вот все говорят, что, мол, будут внедрять Linux в гос учреждения и это хорошо. Но...

Точно так же можно подкупить и разработчика проприетарного продукта. «Индусский код» просто никто не примет, а искусно замаскированный все равно разберут по кусочкам и будут тщательно тестировать. Я недавно патч отправил в apache commons, так его там буквально по строчкам несколько разработчиков разобрали, а в треде у нас идет обсуждение действий более, кхм, серьезной, что ли, организации.

Бывают разные люди и гарантировать этого нельзя.

в метро еще видел

Точно так же как и в проприетарном софте, но опенсорс дает возможность перед использованием провести полный аудит и, думаю, что в заведениях, в которых наиболее важна надежность используемого софта, этому уделяется немало времени. Более того, забугорные исследователи постоянно проверяют код популярного опенсорса на наличие ярких уязвимостей, что только повышает уверенность в надежности.

Почему ж они не нашли древнейшую нашумевшую багу в X?

Что не так сделают - попадут на бабло и под увольнение за несоответствиею

Не знаю, как у тебя на работе, но я встречал места, где вообще всем на все пофигу, лишь бы циферки в отчетах были нормальные.

Но, согласитесь, относительно проще.

Я не вижу никаких убедительных доводов. Можно, конечно, считать, что опенсорс разрабатывают продажные нищие, а клозедсорс - хорошо оплачиваемые профи в костюмах, но на деле может оказаться, что опенсорс - те самые профи, на зарплате компанией, а клозедсорс - неведомые индусы на аутсорсе или студенты за еду.

Как это не нашли, если ты о ней знаешь?

В смысле не нашли долгие годы, с момента ее появление. Зачем придираться к словам? :)

Вполне. И даже знаю пару примеров 8)

OpenBSD - помнишь?

поподробнее, пожалуйста

Это не повод утверждать, что опенсорс более предпочтителен для бэкдоров, багтрекеры ломятся от багов не потому что софт дырявый, а потому что аудитория тестеров больше и есть люди, которым не лень полазить в коде. Ссылаясь на ресеч центры, сколько можно вспомнить коллективов, нашедших уязвимость в _коде_ проприетарного продукта?

http://www.linuxjournal.com/content/allegations-openbsd-backdoors-may-be-true

Но вообще это подозрения, чем точно...

Венда. Сколько багов найдено? Сколько нет? :D

Про багтрекеры - очевидно...

Разве его [софт] не будут тестировать на бекдоры и не будут проверять исходники?

Я не знаю. Должны, но будут ли?

в опенсорс гораздо проще внедрить бэкдор // K.O.

Обоснуйте ваше утверждение.

При наличии исходных текстов создать кастомный бэкдор намного легче, чем при отсутствии оных. Вопрос в другом: qui prodest?

Сказал А, может скажешь и Б? В отличии от проприетари в открытом софте бэкдоры можно искать. Сообщество может собрать деньги и нанять контору для проведения аудита. С виндой или фотошопом так можно сделать?

если будет тотальная бинарщина и закрытые репы, то да, вероятность больше чем в случае общедоступных реп и сборки на местах из исходников, полученных с публичных реп.

Можно и бинарщину, но чтобы контрольные суммы были выложены в общедоступном месте, вместе с бинарщиной + хорошо бы еще подписать ключами доверенной стороны и чтобы была возможность воссоздать такие бинарники с проверкой сумм (возможно наверное чисто теоретически к сожалению)

При наличии исходных текстов создать кастомный бэкдор намного легче, чем при отсутствии оных. Вопрос в другом: qui prodest?

Вопрос в том, что дальше делать с этим бэкдором. На локалхост поставить?

Вопрос в том, что дальше делать с этим бэкдором.

Национальный дистрибутив ЕдрОС, «доверенная» контора, которая будет ставить и мейнтейнить софт и так далее, насколько хватит фантазий.

Странная логика

в опенсорс гораздо проще внедрить бэкдор // K.O.

При наличии исходных текстов создать кастомный бэкдор намного легче, чем при отсутствии оных

Так исходный код есть у разработчика по определению - хоть opensourse хоть нет. Разница то какая? Что у разработчика opensourse, что у штатного программиста microsoft доступ к исходникам свободный. Но то, что делает разработчик opensourse хоть можно контролировать.