KeePassXC โปรแกรมจัดการรหัสผ่านโอเพนซอร์สเปิดเผยรายงานตรวจสอบความปลอดภัยโค้ด ที่ตรวจสอบโดย Zaur Molotnikov ที่ปรึกษาด้านความปลอดภัย การตรวจสอบเน้นเฉพาะระบบการอ่านและเขียนฐานข้อมูลรหัสผ่าน โดยไม่ได้ตรวจสอบส่วนอื่นๆ เช่น เช่น ระบบการสุ่มรหัสผ่าน

KeePassXC เป็นโครงการโอเพนซอร์สที่พัฒนาโปรแกรมโดยใช้ฐานข้อมูลร่วมกับโปรแกรม KeePass ได้ แม้จะใช้ฐานข้อมูลแบบเดียวกัน แต่ KeePass นั้นพัฒนาด้วยภาษา C# และต้องการ .NET ขณะที่ KeePassXC ใช้ภาษา C++ และพัฒนาด้วย Qt สำหรับโปรแกรม KeePass เองนั้นเคยถูกตรวจสอบโดยสหภาพยุโรปเป็นผู้ให้ทุน

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

Florian Bogner ผู้ตรวจสอบความปลอดภัยข้อมูลจาก Kapsch BusinessCom AG รายงานถึงช่องโหว่กระบวนการอัพเดตโปรแกรมเก็บรหัสผ่าน KeePass 2 ที่ตัวโปรแกรมจะตรวจสอบจากเว็บผ่าน HTTP ที่ไม่เข้ารหัส จากนั้นจึงแจ้งเตือนให้ผู้ใช้ไปดาวน์โหลดอัพเดตจากเว็บที่ไม่เข้ารหัสอีกเช่นกัน ทำให้ผู้ใช้มีความเสี่ยงว่าจะดาวน์โหลดอัพเดตปลอมหากถูกคั่นกลางการเชื่อมต่อ

Bogner รายงานปัญหานี้ไปยังผู้พัฒนา KeePass ตั้งแต่เดือนกุมภาพันธ์ โดยแนะนำให้ KeePass ปรับเว็บเป็น HTTPS เสียแต่ทาง KeePass ปฏิเสธ หลังจากเปิดเผยช่องโหว่นี้ต่อสาธารณะ ทาง KeePass เลือกเซ็นลายเซ็นดิจิตอลในตัวติดตั้งแทน โดยมีผลตั้งแต่รุ่น 2.34 เป็นต้นไป