Das trifft aber auch auf "Closed Source" zu, oder nicht?
Naja, wer weiß schon, was da alles unter den Teppich gekehrt wird?
Wenn eine Lücke in einer "Closed Source" Software gemeldet wird, dann ist der Hersteller gezwungen schnell einen Fix zu liefern. Ansonsten ist seine Software (und sein Unternehmen) schneller weg vom Fenster als die Aktionäre ihre Aktien loswerden können.
Das kommt immer ein bisschen auf die Lücke an, in diesem Fall hätte man die Lücke ohne den Schlüssel z.B. nur schlecht nachweisen können und auch allgemein ist es einfach ungleich schwerer eine Lücke zu finden oder nachzuweisen, wenn man keinen Zugriff auf den Code hat. Ein Angreifer, der in geschlossenem Code agiert, hat da schon deutlich bessere Chancen unentdeckt zu bleiben, als einer, der das in offenem Code tut.
Darum dreht sich die Diskussion zwischen den Lagern ja (auch). Bei "Open Source" lastet häufig viel Arbeit auf einigen wenigen freiwilligen Programmierern, die teilweise unentgeltlich arbeiten. Das ist in diesem Fall der Grund für den "Super GAU" gewesen.
Das ist sicher ein Problem, wenn kritische Infrastruktur darauf aufbaut. Dadurch, dass alles aber von vielen geprüft und auch in unkritischeren Szenarien verwendet wird, bevor es in die kritischeren Systeme wandert, sind die Chancen aber recht hoch, dass so was noch rechtzeitig erkannt wird. Das hätte jetzt z.B. noch über ein Jahr lang unbemerkt bleiben müssen, um in den ersten Debiansystemen zu landen.
Wer weiss wie oft (und wo) so eine Backdoor bereits erfolgreich integriert wurde? Aktuell prüft daher die Community sämtlichen Code, was ewig dauern wird.
Das passiert ja mehr oder weniger durchgehend. Jetzt wird erst mal von diesen Paket ausgehend nachgeforscht und vermutlich werden Maintainer mal scharf nachdenken, ob sie schon mal was unter der Nase hatten, was ähnliche Möglichkeiten eröffnen würde und das noch mal nachprüfen. Dadurch, dass da sehr viele ein Interesse daran haben, das zu lösen, schätze ich die Menge an Mitarbeitern bei der Suche und die Motivation deutlich höher ein als bei geschlossenem Code, wo eine einzelne Firma Leute abstellen müsste.
Und jetzt ist man auf demselben Stand wie bei "Closed Source" wo ggf. auch Geheimdienste Code eingeschleust haben. Man weiss nicht wo und in welchem Umfang das passiert ist.
Naja, es ist nicht so, als wäre man sich der Gefahr erst jetzt bewusst geworden, aber wie gesagt, absolute Sicherheit gibt es natürlich nicht.
Freie Software ist da zwar nicht immun dagegen, aber immer noch die beste Lösung, da man die Hürde, sowas erfolgreich durchzubringen, viel höher setzt. Hier wurde die aber überwunden.
Man ist schon extrem weit gekommen, ein wirklicher Schaden sollte aber nicht entstanden sein. Von daher müsste man es nicht unbedingt als Erfolg werten.