Barrapunto

Eso es igual en cualquier sistema de código abierto o cerrado. No es inheretemente más seguro un sistema de código abierto (sendmail, en su buena época, hacia parecer al IIS Fork Nox).

el otro, usuarios de un sistema cerrado, garantizado, mantenido relativamente bien actualizado en cuanto a parches de seguridad y a un costo mayor que el actua

Supongo que te referiras a un sistema abierto de fuentes , que no libre. Desde el punto de vista de la seguridad y la revisión de código, se facilita la labor para todos, los que buscan cerrar el agujero, como los que buscan para atacar. Se sustituyen el SoftIce, el Turbo Debugger o los Sniffer por herramientas como el grep. Pero eso no hace el software más seguro, eso lo hace la cuidadosa programación, la validación de resultados, pensar el software de misión crítica con esos parámetros.

¿Que es menos costoso?.¿En que van a encontrarse antes los fallos?. No. Los fallos hay que buscarlos a ir a por ellos. Eso cuesta el también mucho trabajo: fíjate en la gente de OpenBSD. ¿Descubrieron ellos el bug remoto del OpenSSH?. ¿El de OpenSSL?.

No. Fueron empresas externas. ¿Es que acaso todos los que se bajan el cliente de turno de cualquier protocolo hace un grep por las fuentes buscando vprintf, sprintf, gets y demás fauna berbener?. O, ¿se van directamente a los binarios?.

Tener las fuentes facilita, desde luego el excruitinio de los fallos de seguridad. Pero, como cualquiera que se va a freshmeat se baja el primer source, compila, instala es tan insconciente como el que ejecuta el primer binario que pilla por la red (irssi, OpenSSH, BitchX, sendmail, por hablar de los últimos troyanos).

¿La gente tenía los Apache actualizados?. No, salió un gusano y afecto a muchos sistemas. Demuestra una vez más que ni código cerrado ni abierto, sino buen código, administradores de sistemas responsables, y esperanza en que llegue al público los fallos de seguridad conocidos: no es la primera vez q sale en bugtraq un fallo y salen 3 exploits seguidos (day 0).