-куть-
ИМХО если хочется _безопасности_ - используйте только
_комплексные_и_сертифицированные_ решения.
Полная не факт. Вроде большой дяденька, а в сказки верит...
Вопрос сводится в том и другом случае к тому, _кому_ доверять.
В случае доступности исходников _принципиальная_ возможность
аудита есть, и некоторые ей пользуются не только на словах.
Иначе приходится верить разработчикам и тем, кто это уже читал.
В случае наличия сертификата верить приходится в компетентность
и честность производивших сертификацию, а также в неуязвимость
этого процесса со стороны заинтересованного вендора. Примеров,
разрушающих такую уверенность, я знаю достаточно много.
Вы что, _лично_ делали аудит _всего_ кода, что крутится в вашем
PBX?
Один мой знакомый (Денис Смирнов, mithraen.ru) читает и ровняет
Asterisk. Вот что Вы лично делали аудит процесса сыртыхвикации
-- не верю, и можете даже не пытаться убеждать (потому что тогда
не буду верить уже человеку, а не слову, что хуже).