La differenza fondamentale è che la probabilità di scoprire una vulnerabilità in un sorgente è nettamente superiore a quella di scoprirla in un binario.
Naturalmente questa probabilità si riduce progressivamente all'aumentare della complessità del codice, ma fare di "tutta la birra un brodo" è, come già detto, miope.
Giusto per fare un esempio, OpenBSD è più sicuro di Windows o Linux perché espone, nella configurazione di default, meno vulnerabilità.
E' sicuro in assoluto e contro qualsiasi attaccante?
No, ovviamente.
Ma è _più_ sicuro di altri contro moltissimi attaccanti.
Hai ragione: la sicurezza di un sorgente non può essere data per scontata.
Ed una volta verificata, non puoi dare per scontata la sicurezza del compilatore e dunque del binario.
Cioè hai un sistema più sicuro (hai rimosso le vulnerabilità del sorgente) ma non sicuro in assoluto.
Su Linux, c'è chi sta lavorando proprio a minimizzare il grafo di dipendenze e rendere riproducibile la build a partire dai soli sorgenti:
https://www.joyofsource.com/we-did-it.html
https://github.com/fosslinux/live-bootstrap
Ma naturalmente non sono mai le persone che sono state convinte che sia impossibile, a far progredire il mondo. 😉
