"Кто хочет — ищет способ, кто не хочет — ищет причину." - Сократ.
Вот у фанатиков всегда нужны виноватые и причины, чтобы свалить с себя ответственность на этих виноватых. Весь ваш комментарий - иллюстрация этого принципа.

> Пока сопроводитель пакета понимает, а разработчики дистрибутивов требуют, сомнительное ПО с SUID флагами в пакеты не попадает. Что попадает, то открыто для аудита. Действуй, безопасник!

У нас есть доверенное ПО, которые мы (сопроводители пакетов, разработчики дистрибутивов) разрешаем и добавляем в пакеты. По сути дела "мы" в предыдущем предложении - бесполезные "решалы", которые в случае любой уязвимости прячут голову в песок. Ответственность перекладывается либо на пользователя (сам себе делай аудит нашего барахла), либо на разработчика (мы не разрабатывали, это они багов понаписали). Бессмысленная прокладка, напоминающая советских чиновников. Вы свой совет перечитайте вдумчиво раза 3 и осознайте, что никакого практического смысла он не несет. Люди и так производят эти аудиты и ни на грамм не доверяют меинтейнерам-решалам, потому что с них спросу никогда нет, даже в случае контрактной техподдержки платных дистров. Даже наоборот, проценка тикетов на исправление как раз провоцирует к тому чтобы итоговый продукт не работал без напильника и постоянной подписки на саппорт.

> Вот поэтому "фанатики" требуют раскрытия исходного кода...

И как, я стесняюсь спросить, фанатичное скакание меинтейнеров вокруг открытости исходного кода спасает от 12-летних уязвимостей? Никак.

> Капитализм - на сегодня главная дыра в безопасности ПО и других сфер жизнедеятельности человека.

Пффф... Пользователи виноваты, весь капитализм виноват, разработчики виноваты, производители, подрядчики, заказчики - в общем всё и вся, кроме священных фанатиков. Абсолютно бесполезный и контрпродуктивный способ мышления, весьма характерный в советское время, кстати. "Ничего не знаю, моя хата с краю".

Можно долго и упорно объяснять как мы старались, как стремились, как хотели, как нам все мешали и поэтому мы провалились, но в конечном итоге зачет идёт в социальном смысле "по последнему", а в экономическом меряется результат. Вот так же примерно и с SUID-битами из 70-х. Их же не убирают не потому что они хорошие, а потому что не смогли ни на кого ответственность переложить. Проблема как раз не в капитализме, а в том, что ответственность на себя никто не берёт даже за деньги.

> Нет namespaces, cgroups и bpf и много других незаслуженно забытых опеннет-аналитиком buzzwords. На которых, помимо прочего, современная безопасность Линукса твердо стоит и уверенно смотрит в своё контейнеризированное будущее.

Ну эти подсистемы - переосмысление ряда старых API, из BSD и WinNT. Они все инновационные только для тех, кто кроме Linux других ОС не видел. Кроме того, контейнеризация так популярна в Linux именно из-за отсутствия стандартов на дистрибьюцию без прокладок-меинтейнеров и отсутствия встроенных средств безопасности по контролю за инородным ПО. Подход в стиле "поставили мимо репозиториев - ваши проблемы" - это глупый контрпродуктивный подход. Опять же, посмотрите на мусор в докере, демон которого запущен из-под рута с выключенным SELinux, потому что девляпс скриптом с докерхабчика собирает. Эта помойка - следствие нежелания привести в порядок основную систему и перекладывания ответственности. Здесь не чем гордиться.