Že to je opensource neznamená, že tam není žádný problém, ať již úmyslný nebo neúmyslný. Stačí zavzpomínat: heartbleed, dirty COW, ... a na rychlost opravy: měsíc po vydané opravě heartbleed pouze 1,5% kompromitovaných systémů mělo opravu aplikovanou.
Druhý problém je, že nemáte jistotu a ani žádný způsob, jak to ověřit, že aplikace v distribuci je přesně to, co je zveřejněno. To platí obecně, problém se jmenuje reproducible build - není způsob, jak vzít tytéž zdrojové kódy a definovaným postupem sestavit nezávisle aplikaci, která bude binárně identická s tou, kterou si instalujete.
Přidejte k tomu, že Snowden není kdovíjaký programátor a teď sedí v Moskvě v nějaké koexistenci s FSB a my mu máme věřit, že najednou udělá neprůstřelnou aplikaci, ve které nejsou skutečně žádná zadní vrátka.
Já o tom mám pochybnosti a proto záznamy ze svého soukromí jeho aplikaci dobrovolně nesvěřím.