Vu que c'est une de mes activités quotidiennes de packager du travail
libre dans une distribution, je t'affirme que oui. Et je t'affirme que
la vitesse de repérage de vulns ou de compromission de code dans des
logiciels en source ouverte est globalement bien plus solide que ce que
tu ne pourrais pondre toi-même, ou que dans un soft privé mais payant.

Clairement !

À ceci près : "que ce que tu ne pourrais pondre toi-même". Ce n'est pas toujours exact. L'emploi d'une méthode et d'un langage issue de l'industrie permettrait d'augmenter la qualité et de réduire le temps de dev. Mais la communauté du libre n'est pas dans cette culture car on code d'abord avec le ou les langages que l'on maîtrise et (parfois) qui nous correspond.

Un exemple histoire d'étayer. https://www.adacore.com/academia/projects/ironsides-secure-dns-server

On utilise ce langage depuis longtemps et on a réellement divisé nos temps de dev par 3 (vs C++ sur du dev Gtk par exemple) et nettement augmenté la sûreté de fonctionnement. j'ai rien contre le C et dérivés cela dit. Juste une observation. Il y a une prise de conscience, avec Rust, qui reste toutefois encore à des années lumières du langage en question, mais c'est un pas dans la bonne direction !
-- 
Stéphane Rivière
Ile d'Oléron - France