La communauté Linux n'est pas aussi forte qu'on peut l'imaginer si l'on songe qu'il faut savoir programmer et qu'une grande partie des projets open-source ne fait appel qu'à 1 ou 2 programmeurs rarement formés à la sécurité. Ainsi PHP4 n'est plus maintenu depuis l'été dernier pourtant beaucoup de projets ne sont pas passés à PHP5 pour plusieurs raisons: pas de mainteneur, pas assez de temps, incompatibilité (surtout pour la partie orienté objet), ...

Enfin qui dit mise à jour du code source, ne signifie pas mise à jour immédiate des systèmes, encore faut-il que les mainteneurs des distributions adaptent le code et refasse les paquetages, ce qui peut prendre du temps. Sans compter que c'est parfois à ce moment là que sont rajoutés de nouvelles failles, comme celle d'OpenSSL sous Debian qui a affectée la sécurité de nombreux serveurs SSH (pas uniquement ceux sous Debian d'ailleurs).

Il n'y a pas de système parfait, d'ailleurs Linus Torvalds refuse même de qualifier "de sécurité" les patchs qui lui sont transmis pourtant dans ce sens. C'est pour dire, la transparence a ses limites...