Je pense que tout le monde s’accorde pour dire qu'il y aura plus de failles de sécurité sur un projet dont peut de personnes ont accès au code, plutôt que un code qui est ouvert.
C'est vrai en général mais si le source du projet en question est utilisé, modifié, lu, examiné, compilé, etc par beaucoup de personne, autre que l'équipe initiale.
Ca tient donc plus au nombre de personnes et ce qu'elles font avec le source qu'au fait que celui ci soit ouvert ou pas. Le fait d'être ouvert, en général, permet directement d'avoir plus de personnes dessus d'ou cette impression généralement admise mais cela n'est pas systématique ou garantie. Beaucoup de projets open source ont très peu de monde qui auscultent leur source...souvent moins que les projets non ouverts de la même taille.
Il ne faut pas tomber aussi dans l’excès de confiance, du genre 'bah c'est open source donc d'autres auront été vérifier le source'. qui vérifie que quelqu'un a vérifier ? ...
Apres il y a aussi la 'chaîne de confiance': les gens qui installent et utilisent Ubuntu ou Firefox font confiance aux quelques personnes qui compilent et génèrent les binaires...tout comme ceux qui installent Windows et IE... Il n'y pas a ma connaissance de mécanisme 'garantissant' que tel binaire d'Ubuntu ou celui Firefox correspond bien a son source et a une façon 'canonique' de le compiler et le générer...(il faut aussi garantir l'intégrité des compilateurs, linkers, modules tiers, etc).
L'utilisateur 'parano' se doit de compiler TOUT lui même, et même dans ce cas, il faut qu'il soit sur de l'intégrité de code source qu'il a récupéré (confiance en l’hébergeur ou en le miroir par exemple). Bref de toute façon, a moins de lire et vérifier l'intégralité du code source soi-même (et des outils pour compiler ... et de l'OS sur lequel on compile...etc) on est bien obligé de faire confiance a d'autres a un moment...
Donc cela n'est pas qu'une histoire de source, c'est toute la chaîne et ses outils.