Des discussions sans fin opposent régulièrement les spécialistes en sécurité afin de déterminer si les logiciels Open Source (OSS, Open Source Software) apportent un « plus » par rapport aux autres logiciels. La situation en ce domaine est résolument en faveur de l'OSS.

Tout d'abord, du code OSS c'est du code librement disponible : n'importe qui peut avoir accès au code source. Cela a de multiples implications. Les auteurs sont souvent plus soucieux d'écrire du code lisible. Non que les logiciels commerciaux soient mal codés, mais les logiciels OSS ne sont pas soumis à la pression commerciale, aux dates de release, etc... La lisibilité qui en résulte est probablement plus grande.

Un code disponible, c'est aussi un code qui peut être audité. Le projet OpenBSD a une équipe dédiée qui, depuis plus de 10 ans, audite le code des applications utilisées par OpenBSD. Tous ces développement s'effectuent donc en public, sous le regard des pairs, ce qui ne peut qu'améliorer la qualité du code produit. Bien sûr, dans la mesure ou la disponibilité du code source permet d'identifier plus facilement les défauts, il peut aussi permettre aux personnes malveillantes de repérer des failles directement dans le code. Mais de ce point de vue, l'histoirique des failles de sécurité montre que « l'obscurité » et la non divulgation du code source n'ont visiblement jamais été des solutions à ce problème.

Bruce Schneier , cryptographe éminent et spécialiste incontesté de la sécurité informatique l'a dit lui même : « Demand open source code for anything related to security » [Schneier1999] ^[2].

Enfin, même si l'OSS représente un plus important en terme de sécurité, ce n'est absolument pas une condition suffisante qui à elle seule peut garantir la sécurité d'un système d'information quel qu'il soit. Le pire ennemi de la sécurité est le sentiment de sécurité.