可能会在短期内增加潜在威胁，因为您可以保证攻击者会通过代码来寻找弱点，但是也会有许多白帽子这样做，以及来自使用卡巴斯基的组织的代码审查团队，因此很可能会发现问题，但最终结果可能是一个比其他情况更安全的代码库。

许多眼睛，以及所有这些。

不过，相对风险很难估计，因为攻击者很可能已经在逆向工程和剖析 AV 代码 - 所以在这种情况下，将好人添加到审查池中可能会降低风险。

这不是开源是否会降低安全性的古老问题吗？至少在安全从业者中流行的理论是，如果您依靠不被访问的代码来提供安全性，那么您所拥有的只是默默无闻的安全性。这就是为什么唯一受信任的加密算法是代码已经开放并被大量人员多年来广泛分析的地方。真的不明白为什么在这种情况下 Kapensky 的安全软件应该有所不同。

也就是说，我在关于开源的帖子中提出了以下观点：

甚至 OWASP 风险评级方法也易于检测和易于利用，因为这些漏洞因素会增加整体风险。公司有很多大型机代码，我敢肯定它们有很多安全漏洞，但是当您计算风险评分时，它必须低于您刚刚下载的最新开源 CMS 中存在的跨站点脚本漏洞。现在你可以认为这是一把悬在你头上的匕首，有人发现并利用它只是时间问题（例如 Stuxnet 和 SCADA）。另一种观点是，在资源有限的情况下，建立深度安全控制防御并保持源代码机密是一种合法的风险缓解策略。

无论哪种方式，效果都很可能是最小的。

当然，如果您的系统的安全性严重依赖于代码的保密性，那么这本身就是一个问题。不要忘记无论如何都有工具可以从编译的图像中自动生成源代码，还有一些人可以尽快将机器代码反编译为高级语言。

我认为在此类事件中面临的主要风险是商业风险：公司认为其源代码是使其比竞争对手更具优势的资产，只是现在竞争对手可以平等地使用该资产。其次，公司的声誉明显受损：一家安全公司甚至无法保护自己的业务流程？

是的，也有可能通过访问源代码更容易发现漏洞，但主要损害的是公司。正如其他人所指出的那样，发现漏洞是一种可以用于善恶的力量。