> Таким образом ты констатируешь, что открытое программное обеспечение взломать проще?

Чисто в сферической теории - возможно все.
На практике, в вашем клосет-сорце частенько забивают на безопасность по полной программе.
ASLR? Не, не слышали. Это же все еще opt-in. Даже для DLL, у которых вообще-то BaseImage-адрес сугубо опционален и без релокаций (тех самых, которые еще сто лет назад генерировал то ли еще пятый, то ли седьмой компилятор борланда по умолчанию не только для либ, но и для екзешников)  не обойтись, если не хочешь получать регулярные жалобы от пользователей.
Но это же нужно кое-кому опции компилятора менять, а впаривателям окошек рискнуть получить проблемы с лютейшим легаси. Поэтому "лучше дружно забъем и сделаем красивый буклетик, как все у нас хорошо"!

PAX (ну или хотя бы DEP)? Опять же, ни слухом, ни духом. Оpt-In вот уже десяток лет из-за извечного легаси.
ЧСХ – такие факапы случаются даже у антивирей типа Каспера и прочих дефендеров, в компонентах, внедряемых в _каждую_ программу :)
joxeankoret.com/download/breaking_av_software_44con.pdf

> Так то, за пределами этой ветеринарной лечебницы  это и ежу понятно.

Очередной не знающий, но любящий порассуждать, как по его мнению должно все быть на самом деле?

https://www.cvedetails.com/product/9900/Microsoft-Internet-E... (625 дырок c возможностью выполнения произвольного кода)
https://www.cvedetails.com/vulnerability-list/vendor_id-53/p... (795 дырок c возможностью выполнения произвольного кода)
vs.
https://www.cvedetails.com/product/47/Linux-Linux-Kernel.htm... (179)

Что, сильно закрытость помогла?

Да и не зря проприетарщикам всякие "защищающие" темиды и экзекрипты (те самые, которые вроде как "буллетпруф", потому что автор зашифровал своим пoделием привет-миру и потребовал расшифрованую версию в качестве доказательства обхода. В итоге оно у него было все еще "анброкен энд буллетруф хакер-сейф!", когда народ чуть ли не автораспаковщиками обменивался :) ) впаривают.  
Иначе же злобные взломщики украдут наработки и алгоритмы!
А то, что некоторые "защитнички" для этого устанавлива(ли|ют) дрова с чудным интерфейсом взаимодействия "приходи кто хошь, выполняй в ринг 0 что хошь" – ну, бывает, да. Как и то, что оно просаживает производительность и опять же, частично ломает DEP/ASLR cвоими "гениальными"  виртуализаторами и эмуляторами или тупым рапаковыванием "расшифрованного" кода в память с RWX-флагами.