La Sicurezza delle applicazioni open source è scadente, ma non tanto per la qualità dei codici bensì per l'inadeguato supporto post-vendita. Questa la tesi di massima dell'ultimo rapporto di Fortify, società specializzata nella protezione informatica delle imprese.
Open Source Security Study di Fortify sottolinea infatti che le comunità sviluppatrici open source non dispongono di procedure mature per far fronte alle esigenze business di sicurezza. Spesso, pare che non sia consentito agli esperti (esterni) del settore di intervenire per risolvere vulnerabilità e quant'altro.
Fortify si è concentrata sull'analisi approfondita di 11 soluzioni software come Tomcat, Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin e Struts. Ebbene, secondo il coordinatore dello studio Larry Suto, nessuna di queste dispone di un contratto specifico per la sicurezza.
Eppure è opinione comune che il codice open source sia più stabile e sicuro; per Fortify si tratta di un'inesattezza. Tanto più che gli 11 software hanno evidenziato 22.826 problemi di cross-site scripting e 15.612 di SQL injection. E nulla è cambiato nelle tre implementazioni ulteriori di almeno sei software.
Secondo Jennifer Bayuk, CISO di Bear Stearns, una buona parte della comunità open source non segue standard di controllo di livello industriale.