А что , здравый смысл не подсказывает,что из огромного стада разработчиков с большой вероятностью присутствует паршивая овца ? Подход найти можно всегда, неважно будет это крупная сумма, смазливая девица или патриотический бред. Да я думаю их там не одна и не две. При объеме кода в одном тлько ядре в 15000000 строк https://www.opennet.ru/opennews/art.shtml?num=32816 шансы обнаружить внедренный спецом бэкдор стремяться к нулю. Тем более что-то доказать потом проблематично, всегда можно скахать "Ой! Какая неочевидная ошибка, я видимо плохо выспался в ту ночь...".
Да, я понимаю что не все 15кк отвечают за критически важные с точки зрения безопасности процессы, но объем кода для аудит все равно огромен. Можно уверенно сказать, что спецслужбы позаботились о закладке, так, на всякий пожарный случай. В случае с любым достаточно крупным продуктом это не так уж и сложно, особенно это касается OpenSource. Так что суслик есть. И в Windos, и в *BSD, и уж тем более в Linux.