Hanno suscitato parecchio clamore la pubblicazione dell’Internet Security Threat Report 2005 di Symantec, e le successive dichiarazioni del suo general manager David Sykes. Secondo l’azienda, la diffusione di Firefox avrebbe contribuito a dilatare i tempi di attesa fra l’individuazione dei bachi e la correzone degli stessi, a causa della natura del software Open Source. Programmi di questo tipo infatti si basano sul “volontariato” di molte persone, che non sono tuttavia spinte da imperativi commerciali e quindi possono permettersi tempi di risposta più lunghi.
Tralasciando i commenti alle discutibili statistiche presentate da Symantec, riporto la risposta di Tristan Nitot, presidente di Mozilla Europe:

If you look at our ability to respond, we are in much better shape. On 6 September an IDN buffer issue was reported to Mozilla. On 8 September it was publicly disclosed. We ask our developers not to mention any problems until we have a fix for them, but for some reason he went public. On 9 September we had a configuration change that disabled the IDN problem, that users could implement manually, or they could use a patch. Within ten days we had a newer version that was fixed completely.

Inoltre, al di la del numero di falle individuale, è la gravità ad essere ben diversa, come confermano i dati di Secunia. Continua Nitot:

Basically their vulnerabilities are more critical. With Firefox — yeah, you have holes, but they’re much less serious. [...] Which would you prefer, to have a broken finger, or your head ripped off?

E’ naturale che, acquistando quote sempre maggiori di mercato, i software Open Source attirino l’attenzione dei malintenzionati. Questo però non dimostra certo che la politica della security through obscurity sia vincente.