La seguridad del software vive atrapada en una contradicción incómoda. Las organizaciones exigen cada vez más visibilidad sobre vulnerabilidades, dependencias y cadena de suministro, pero cuando esa visibilidad aparece en forma de miles de CVE públicos, muchas veces se interpreta como una señal de mayor riesgo. El código abierto queda así penalizado por una de sus mayores virtudes: enseñar lo