Mouais bon, le respect du cahier des charges des codes closed-sources, c'est souvent assez lol aussi, et presque toujours perfectible même quand c'est bien fait, ce qui est rare.

En réalité l'argument de la review naturelle du code marche bien pour.... hum... des articles fréquentés de wikipédia (au moins dans la forme), beaucoup moins pour des softs dont personne n'a envie de relire le code pas souvent sexy.

Maintenant basher uniquement l'open source quand y'a 200 failles critiques closes-sources corrigées par jour, c'est un peu facile, quand même...


Je pense plutôt que tout cela devrait nous interroger sur :
- l'établissement de process de tests, vérifications et review un peu sérieux pour les composants critiques, y compris open sources. Évidemment si certaines grosses boites y mettaient un peu de volonté et de sous, ça pourrait faciliter le truc. En réalité sur pas mal de softs, il y a plus de sous potentiels et donc de talent humain pour trouver et exploiter agressivement les failles plutôt qu'à les trouver&corriger (puisqu'il qu'il y a un marché gris pour vendre les failles 0 day, etc.). Dans l'écosystème actuel c'est probablement le plus gros problème.

-Plus fondamentalement, et à plus long terme, sur l'écosystème même, ie. sur notre manière de programmer très faillible, et sur des choses comme les preuves et vérification automatiques, etc.