Pokud jsem si všiml, tak i na projektech typu kernelu, driverů, základních frameworků a dister pracují nikým neprověření lidé. Předpokládám že třeba Red Hat přinejmenším ví, že jejich zaměstnanci fyzicky existují :). Ale to je celkem na nic, když přebírají spoustu zdrojáků vytvořených lidmi kteří žádnou prověrku nemají, a klidně to mohou být třípísmenkové agentury tvářící se jako vývojáři.
Myslíte že by se na případný problém snadno přišlo, protože přece všichni super-pečlivě studují zdrojáky? Tak si uvědomte, že třeba shellshock bug byl v bashi 25 let. Přitom bash najdete snad na každé instalaci Linuxu, a zdrojáky byly samozřejmě celou dobu k dispozici.