是很困难的：原因是，当你发现你用的开源软件有漏洞，需要修改，是自己马上开始修改，还是递交到该软件的主要维护者那，等主要维护者更新？若是要等其它的软件维护者更新，那就谈不上自主。若是自己修改，把自己的修改递交上去，合并到主流：那首先其它开发者是否会接受你作的修改？很可能他人也作出了修改，并更好。所以，很可能的情形是以后你会主要等待主流的更新来解决软件的错误。

因此，那样的软件是很难做到自主可控的。其关键是，它有很活跃的软件维护，软件版本在不断更新中。

因为软件相当庞大，想要跟上版本更新的步伐，彻底了解软件几乎都非常困难，说能把这样的软件做到自主可控，没有非常大的压力及决心，几乎是不可能的。