Postgres má za 5 let nárůst cca 220 tisíc řádků kódu, což je ještě zvládnutelné, ale je to dané i typem produktu. Samozřejmě, že v operačních systémech řádky naskakují rychleji bo drivery.
Nevím nakolik znáte prostředí firem, které píší projekty, které jste zmiňoval. Aktuálně, vzhledem ke komplexitě projektů, téměř všechny projekty mají fulltime vývojáře - minimálně lidé, kteří commitují nebo bugfixují jsou dnes už fulltime - a jelikož je musíte vykázat v účetnictví, tak tam platí stejná pravidla. Minimálně pokud se bavíme o systémovém software, systémových knihovnách, které jste uváděl.
Podstatně horší situace bude u knihoven a nástrojů určených pro www aplikace - ale opět nečekám významnější rozdíl mezi uzavřeným a otevřeným softwarem.
Všechno je samozřejmě o lidech, nicméně šance, že objevíte podezřelý commit je u open source projektů hodně vysoká. Každý projekt má svou historii - např. https://github.com/postgres/postgres/commits/master a věřte mi, že u každého významnějšího projektu je dost lidí, kteří tuto historii sledují.