Chyby: vznikají jak v OSS, tak v uzavřeném SW.
Uzavřený SW: nikdo kromě vendora nemá velkou šanci ukrytou chybu najít.
Otevřený SW: v praxi je popsáno dost případů, kdy i velmi závažné chyby existovaly bez povšimnutí dlouhé roky.
Uzavřený SW: backdoory mohou existovat kvůli zájmům vendora, i kvůli zájmům jeho země
Otevřený SW: backdoory mohou být propašovány stejným způsobem (do OSS velkou měrou přispívají giganti, kteří patří i do předchozí skupiny)
V tomto porovnání mi to přijde z hlediska rizik prakticky rovnocenné.
Méně rovnocenné mi to přijde v zájmu hledání chyb. U uzavřeného SW je přímým komerčním zájmem vendora, aby neztratil důvěru zákazníků, lze předpokládat, že do této aktivity investuje část peněz. U OSS opravdu musí tuto činnost řešit samotný uživatel software.
Ale jak psal pan kolega Krčmář, nelze to paušalizovat. Např. OSS který vyvíjí RedHat, SuSE a další je pro ně zároveň komerčním zájmem a tam to funguje úplně stejně jako ukomerčního software. Na Vás je "jen" sledovat a aktualizovat. Podobně je na tom třeba i PostgreSQL (který takový přímý komerční tah nemá) a spousta dalších. Naopak odstrašujícími příklady OSS a bezpečnosti jsou např. CMS systémy typu WordPress a další.
Z hlediska firmy bývá někdy levnější vzít řešení od partnera (ať už je postavené na OSS či ne), který se umí o systém postarat pod nějakou smlouvou.
U proprietárního software taky nelze paušalizovat. Např. Microsoft musí dbát na to, aby neztratil důvěru firem, byl by bez chleba. Existuje ale spousta komerčních SW, u kterých vendor na aktualizace a bezpečnost z vysoka prdí. V takovém případě je lepší OSS alternativa.
Pokud bych si to dovolil trochu zpaušalizovat, pak bych řekl, že pro malé a střední podniky (do několika set zaměstnanců) platí: pokud existuje komerční produkt, který je dobře udržovaný, pak je levnější, než OSS alternativa. Pokud takový neexistuje, pak je OSS výborná volba. (Tato teze vychází ze základních zákonů trhu, cena směřuje k optimu - kdyby OSS ohrožoval některého vendora, logicky sníží cenu)