Dennoch entstehen viele Sicherheitslücken, weil Fehler eben passieren, deswegen halte ich es für keine gute Idee, wenn nur der Programmierer auf den Code schaut.
Da besteht also dringend Handlungsbedarf.

Ich schrieb nicht, dass nur die Entwickler darauf schauen sollen. Sie sind aber die Verursacher und haben m.E. auch die Pflicht, etwas sorgfältiger zu arbeiten.
Und der "Bug" in OpenSSL sieht streng genommen mehr nach Backdoor, als nach einem "kann-mal-passieren-Fehler" aus.
Das macht es ja auch so peinlich für OpenSSL.
Andererseits sollten die endlich mal ihren Code "ein wenig" verschlanken und v.a. endlich mal anständig kommentieren.
Das Zeug durchblickt doch kaum noch jemand.

Wie ich schon mal erwähnte, ich würde ohnehin GnuTLS in vielen Fällen vorziehen, wenn es die Möglichkeit gäbe, durch einfache Paketinstallation OpenSSL zu ersetzen.

Ich wette sogar dass so manche sicherheitskritische proprietäre Closed Source Software intern vor Release von der Firma wesentlich besser geprüft wird, als OpenSSL, obwohl wir keinen Einblick in diese propritäre Closed Source Software haben und das will was heißen.

Lustige Wette. Klar gibt es proprietäre CSS, die sorgfältiger geprüft wurde, als ganz offensichtlich OpenSSL. Nur für welche CSS trifft das zu? Das kann man ohne Insiderkenntnis leider überhaupt nicht beurteilen.
Dafür habe ich schon zu viel miese (auditierte) CSS gesehen.
Die Frage ist doch: Wer auditiert wie, nach welchen Gesichtspunkten und Interessen?