一些关于试图在 2003 年左右进入 Linux 内核的后门的记录。显然没有成功。当代评论相当有趣。

linux 内核分发机器在 2011 年再次受到攻击，但当时似乎没有更改任何代码。

更新：看起来 sourceforge 镜像有一个带有内置后门的 phpMyAdmin 版本。

2010 年 e107 CMS 中有一个后门：http : //www.esecurityplanet.com/headlines/article.php/3860981/Backdoor-Found-in-e107.htm

两个月前（2012 年 9 月）phpmyadmin 有一个来自 SourceForge 存储库/镜像之一的后门：http: //sourceforge.net/blog/phpmyadmin-back-door/

FBI 据称在 2000 年对 OpenBSD 的 IPSEC 堆栈进行了后门：http: //bsd.slashdot.org/story/10/12/15/004235/FBI-Alleged-To-Have-Backdoored-OpenBSDs-IPSEC-Stack

与闭源相比，开源有很多优势，但这并不意味着开源项目因其性质而可能是安全的。持续的渗透测试是必须的。

Poul -Henning Kamp （Varnish 和 Ntimed 首席架构师）的FOSDEM 2014 主题演讲非常有趣：

这是我在 FOSDEM 2014 上作为闭幕主题演讲的虚构 NSA 简报

目的是让人们发笑和思考，但我挑战任何人来证明它是不真实的。

这都是虚构的，但它是由在开源项目中拥有大量经验的人所写的。

这是45 分钟的视频。

然后是NSA（可能）如何在 RSA 的密码学中设置后门： CloudFlare 博客上的技术入门。

我认为大多数开源项目最大的保护就是谁可以访问。由于通常不是每个人都可以向项目提交代码，因此那些自己被授予提交访问权限的人往往足够活跃，因此不值得尝试以这种方式妥协。（由于源可用，因此尝试查找现有漏洞更容易。）即使您要尝试进行滥用提交，您也会付出很多努力，并且很有可能您的恶意提交被在发布主要版本之前被其他人发现，从而将自己从项目中烧毁并放弃您所做的所有工作。

基本上，因为难度很高，奖励的可能性很低，所以试图恶意破坏开源项目是不值得的。您可能会看到它尝试的一个地方（从风险与回报的角度来看）是政府试图这样做，但在这种情况下，它可能至少有一定程度的项目支持，并且会被小心地隐藏起来。对于大多数软件来说，如果没有最终检测到，也很难做到，所以即使那样也不太可能。