<p dir="ltr"><br>
On 9 Apr 2014 09:56, "David Goodwin" <<a href="mailto:david@codepoets.co.uk">david@codepoets.co.uk</a>> wrote:<br>
><br>
><br>
>><br>
>><br>
>> Not really. There's been shed loads of vulnerabilities over the last 12 odd years since I've been using FOSS. Most community members like to narrow the field of focus citing the kernel as the holy grail of security ignoring such things as sql injections and browser compromises, SSL vulnerabilities etc.<br>

>><br>
>> The only thing we do do better in the community over Microsoft is we plug the holes quicker. :-)<br>
>><br>
><br>
><br>
><br>
> My opinion is that all code contains bugs. <br>
><br>
> The density of such bugs is unlikely to be significantly different between closed and open source as studies have shown.<br>
> ( <a href="http://www.coverity.com/press-releases/annual-coverity-scan-report-finds-open-source-and-proprietary-software-quality-better-than-industry-average-for-second-consecutive-year/">http://www.coverity.com/press-releases/annual-coverity-scan-report-finds-open-source-and-proprietary-software-quality-better-than-industry-average-for-second-consecutive-year/</a> )<br>

><br>
> In an ideal world, open source code would get reviewed more and become more secure.<br>
> However it becomes difficult and non-trivial to review a complex component like OpenSSL.</p>
<p dir="ltr">What is disapointing here is the bug was a typical C flaw, lack of input validation and low level buffer management.  For a security critical library I had expected better.</p>
<p dir="ltr">Really safer buffer management needs to be introduced, sadly this would be a massive change.</p>
<p dir="ltr">It would also be good to have the concept of tainted data, where by any external data must be explicitly be  validated before it can be used.</p>
<p dir="ltr">><br>
> Microsoft/Oracle/whoever will have similar bugs - however they can silently patch them without the world knowing ("Bug fixes").<br>
><br>
> David<br>
></p>
<p dir="ltr">Chris<br>
</p>