Il y a un certain nombre de situations où [permettre à un mainteneur qui connaît déjà la base de code de s'acheter du temps pour traiter des bug reports (dont sécurité) / feature requests] est probablement plus efficace que [passer un temps pas forcément négligeable à se plonger dans une base de code qu'on ne connaît pas pour contribuer du code qui ne sera pas forcément dans la ligne de ce que le mainteneur aurait fait, et devoir refaire / passer le temps à expliquer le bug ou la feature quand ça n'a pas été fait dès le début /etc.].

Même si la situation s'est légèrement améliorée depuis Heartbleed il y a bientôt 4 ans et demi, grâce à des initiatives limitées comme Core Internet Infrastructure, les grosses entités commerciales n'investissent convenablement ni dans la maintenance des logiciels open source qu'ils utilisent et packagent, ni dans la découverte de vulnérabilités. Même en 2018, il reste beaucoup trop facile de trouver des vulnérabilités, au moins DoS, dans des packages essentiels de toutes les distros Linux... et pourtant, au fil des années, Coverity continue à publier sur le fait que leur analyseur statique trouve en moyenne moins de problèmes par ligne de code analysée dans du code open source que dans du code closed source.