Простите, что плохого в обсуждении уязвимостей?
Говоря простым языком, все берут код "из одной коробки". Будь то github.com, git.kernel.org или sourceforge.net.
Крупные разработчики их ещё и модифицируют, выпускают внутренние патчи под конкретных клиентов, портируют новые фичи в старые версии. Как, например, RHEL годами сидит на одном ядре, вытаскивая их новых нужные исправления.