开源服务是自建安全还是使用官方维护的安全?

比如 Bitwarden 可以自建, 也可以直接在官网注册账号使用.
Tailscale 有第三方实现的开源服务端 Headscale.
Forward Email 官方也开源了可以自己部署的服务端.

这些服务如果自建的话好处就是数据全在自己手里, 不怕官方作恶, 而且目标比较小, 相对不容易被攻击. 但如果服务器被攻击, 敏感数据还是有泄漏的可能. 我现在 Bitwarden 就是 GCP 上单独的一台 VPS 在运行.

如果使用官方提供的服务的话好处是更新和维护及时, 且会有专业的人员进行安全审计.

比如我看 Tailscale 发布的安全公告 https://tailscale.com/security-bulletins/ , 每次出现的漏洞修补后都详细说明了受影响的范围, 且会邮件通知受影响的用户. 而开源的 Headscale 实现可能就没有这么详细的安全审查, 而且我作为用户也不可能时刻关注着每一个服务的版本更新和漏洞修复, 只能每过一段时间更新一次, 甚至可能发现不了比较隐蔽的攻击.