"Er verschijnen dingen in de media als 'open-sourcesoftware is veiliger', 'open-sourcesoftware is betrouwbaarder' en 'open-sourcesoftware bevat minder bugs'. Maar dat zijn zeer gevaarlijke aannames", aldus Cox op de Linuxworld-conferentie in Londen.

Cox, momenteel werkzaam bij Red Hat, werkte jarenlang mee aan de ontwikkeling van de Linux-kernel.

Volgens hem is het beeld van open-sourceprojecten sterk vertekend, omdat alleen de bekende projecten aandacht krijgen. Veel projecten zijn lang niet zo veilig zoals bijvoorbeeld de Linux-kernel dat is. "Een hoge kwaliteit is alleen van toepassing op projecten met goede testers en ontwikkelaars."

Criminelen geven aanzienlijk hoge bedragen uit om de beveiliging van open-sourcesystemen te kraken, aldus Cox. "Er zit weliswaar veel geld in de beveiliging van die systemen, maar er wordt ook veel geld besteed aan het breken ervan. Mensen worden betaald om in te breken."

De Software Quality Observatory for Open Source Software (SQO-OSS), gefinancierd door de Europese Commissie, heeft volgens Cox wel potentieel, maar verkleint de risico's niet. Als er dertien van de veertien bugs worden gefixt, zoals wordt geadviseerd, dan is dat weinig efficient, stelt Cox.