Nem értek veled egyet.
A nyílt forráskód nem garancia a hibamentességre. Annyi előnye van, hogy nagyobb az esélye, hogy kiderül a hiba / sebezhetőség. Csak hogy egy durva hibát említsek, ami 27 évig volt láthatatlan: https://www.theregister.com/2014/12/10/x_window_system_bugs
Ellenőrzött forrás. Nagyon nehezen megválaszolható kérdés, hogy mitől lesz valami ellenőrzött, kiben bízunk / bízhatunk meg. Az SHA256 checksum már elég? Netalán a belső security team fog saját verziót buildelni? Esetleg valaki soronként átnézi a kódot, majd buildel és megpörgetik fuzz teszten 1-2 hónapig? Netalán CC EAL 5+ plecsnis szoftvereket telepítünk csak?
Szóval nagyon nem triviális erre válaszolni szerintem.