А с какой целью Вы ищете уязвимости?

На этот вопрос я многократно отвечал в своих интервью. Так что можешь почитать некоторые из них .

Основные мои мотивы (которыми я руководствуюсь с начала 2006, и в некоторой мере ещё с 2005, и по сей день): проведение социального секюрити аудита, увеличение безопасности Сети и привлечение внимания веб разрабочиков и веб мастеров к данным проблемам, проведение секюрити исследований, демонстрация своих возможностей (чтобы все, кому нужно поднять безопасность своего сайта, могли обратиться ко мне за секюрити аудитом).

Там хоть пожаловаться продавцу.

Так и есть. В случае бесплатных движков разработчик ответственности не несёт, а в случае коммерческих есть суппорт. Но ответственности тоже немного - за безопасностью следят не все и исправления могут долго выпускать. А если твой сайт похакают, то никакой ответственности данный разрабочик также не несёт.

Да и жаловаться особо люди не жалуются. Если в случае опенсорс движка никто ничего тебе не обязан, а в случае коммерческого - люди обычно не жалуются. Знаю об этом из своего опыта - когда я находил дыры или на сайтах где я проводил секюрити аудит или во время моих ежедневных исследований безопасности Интернета.

В данном случае речь идёт о тех владельцах сайтов, которые заказывали сайты у девелоперов (которые использовали или свои коммерческие движки или использовали опенсорсные). Речь идёт об украинских девелоперах, уровень ответственности которых ниже среднемирового. Так мало того, что эти владельцы сайтов никаких жалоб девелоперам не высказывали (и были весьма лояльными к ним), так ещё и веб девелоперы по долгу исправляли дыры на сайтах (не спеша), подвергая данные сайты риску атаки. Да ещё и часто плохо исправляли уязвимости (а эти владельцы сайтов в данном случае полностью от девелоперов зависили, т.к. не разбирались в программировании).

Конечно, разработчики иногда сами ищут уязвимости в своих продуктах. Но не часто и не все разработчики - что хорошо видно по количеству дыр в различных веб приложениях которые публикуются ежедневно.

Разработчики Друпала сами часть дыр находят, но большую часть находят секюрити исследователи - как это имеет место и у других опен сорс проектов (в разных проектах по разному, но обычно большинство дыр находят именно исследователи). Это можно проследить у разных движков по свободно опубликованным эксплоитам. И обычно лишь после публикации эксплоитов, когда будут похаканы множество сайтов, девелоперы выпускают исправление.

К сожалению многие разработчики привыкают к этому, и в основном надеятся, что им безплатно найдут дыры и самим следить за безопасностью (и вкладывать в это средства) не нужно. А некоторые изначально только так и поступают - не следят за безопасностью и исправляют дыры лишь когда им об этом сообщат. Причём подобного подхода придерживаются многие разработчики как опен сорс, так и коммерческих веб приложений.

Мое мнение, что лучше использовать платные движки.

Как видно из публикуемых мною дыр в веб приложениях (найденных мною и найденных другими секюрити исследователями), уязвимости имеются и в платных и бесплатных движках и веб приложениях. Безопасность приложений зависит от ответственности разработчика - а с этим имеются проблемы и у опен сорс и у коммерческих разработчиков. У коммерческих девелоперов есть больше средств для того, чтобы вкладывать в безопасность, но к сожалению и первые, и вторые любят на ней экономить.