> На каких "таких" условиях?

На "отсутствующих". Не зря на их странице речь о "free", но нигде не встречается "оpen".
См:
> но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе

Я вам открою страшную тайну - доступ, в принципе, можно получить и к исходникам виндовс. Но можно ли окошко из-за этого считать опенсорсом?

Еще раз:
не нужно кивать на "облажавшееся" сферическо-вакуумное "сообщество просмотрщиков кода в сотню глаз в качестве хобби" - его просто-напросто нет.
Существуют заинтересованные индивидуумы/фирмы, которые дополняют/развивают понравившееся/необходимое им ПО. Как раз в таком случае (помимо заказного аудита) обычно и просматривается более-менее все.

Но вряд ли такой плагин:
> Users are often lured to open counterfeit websites of banks, by convincing emails. The free and easy to install Web
> Security add-on will help you detect these counterfeit sites so that you will not be decoyed to enter your sensitive
> information where it is not safe.

...
> A website get’s classified as “Hazardous” according to Creative Software Solutions GmbH’s judgment of it’s malicious code. A code is malicious when it can spy the user’s

с несколько стремными подпунктами в прайваси полиси
> Use Google Analytics
>   Integration and use of Facebook marketing services (Facebook and Custom Audiences)

будет интересен кому-то более-менее разбирающемуся, а если и будет, то на таких (т.е. "отсутсвующих") условиях развивать, а значит и копаться внутри, интереса мало.

> Вы действительно искренне верите, что наличие публичного репозитория
> или публичного процесса разработки убережёт Вас от подобных неожиданностей?
> Никогда не было такого, что в публичном проекте уязвимость внедрялась на глазах сотен разработчиков?
> Никогда не было такого, что при сборке публичного проекта ментейнер добавлял кое-что от себя?

А давайте без передергивания и домысливания.
Именно для открытых проектов "факапы" можно пересчитать по пальцам рук.
Встроить "сюрприз", при наличии VC и  заинтересованных (а значит, отслеживающих изменения) заметно сложнее, чем при выкатывании релиз-тарболов и намного сложнее, чем тупо в бинарник.
Поэтому да, я искренне верю в то, что словить "каку" в открытом, более-менее активно развивающемся проекте намного сложнее, чем в сравнимом, проприетарном ПО.