мне кажется, вы ерунду говорите насчёт невозможности проверить

Во-первых, ну хорошо, возможно что просто так, в нерабочее время, код действительно будут смотреть человек 100 от силы. Но, если кто-нибудь из этих 100 что-нибудь найдёт и об этом публично заявит - любой желающий и мало-мальски разбирающийся в программировании человек сможет убедиться - действительно там есть дырка или её нет. В отсутствии же кода нам придётся доверять экспертам, начнётся перетягивание авторитетами. Это причём не фантазия, вроде как в штатах эксперты нашли дыры в машинах для голосования, но производители, вместо того чтобы благодарить и кланяться, начали размахивать DMCA.

Во-вторых, хорошо, вы говорите - подписывай NDA и проверяй. Что это за NDA, какие у неё условия? Очевидно, это не могут быть какие угодно условия, потому что в том числе там можно написать и "никому не сообщать о найденных уязвимостях и не цитировать код" или там "подписавший не имеет права больше программировать никогда". Значит, в законе должен быть какой-то типовой максимум, дальше которого правообладатель на софт не может продвинуться и который бы гарантировал возможность независимого аудита и не вредил бы эксперту. У вас есть такое предложение?

Да, все можно сделать по разному. Можно хорошо, а можно плохо. Можно биться за открытие всего кода, а можно искать компромиссы. Я считаю, что искать компромисс правильней. Только и всего.

так есть предложения-то? лично я не верю что они будут, хоть сколько-то приемлемые