Если эти прикладные программы написаны под windows (native), то, я думаю, очевидно, что под линуксом они не пойдут (эмуляция не в счёт, это лишает смысла сам переход).

Чем? Был хоть один случай когда в Windows были обнаружены и использованы backdoor (не трояны, не вирусы, не обычные уязвимости - а именно намеренно оставленые дыры)? К тому же, Microsoft предоставляет доступ к исходному коду для госконтор (под NDA), если нужно.
И я очень сомневаюсь, что исходный код любой ОС на базе линукс, плюс все используемые компоненты и софт, был тщательно изучен на предмет наличия отсутствия проблем.
Сам по себе открытый код (точнее, его наличие) не гарантирует ни утечек информации, ни отсутствие уязвимостей, ни быстрое их исправление.
Все дистры линукса, кстати, таки бинарные - почти никто, кроме энтузиастов не делает сам компиляцию всего, с нуля (а если и делают, то код не вычитывают) - а вот в бинарниках могут быть "жучки", как и в случае windows.

Во-первых, не надо мне приписывать то, чего я не писал, ок? Ну и во-вторых: ссылочку про распил 490 млн.р. на "Пингвин Софтвер" некоего Рейтмана помните? Вот ещё одна, совсем свежая (11 июня 2015, 19:23). Цитирую самое интересное:

"Совпадение? Не думаю." (C)
Итого: имеем фирму, принадлежащую бывшему министру связи, которая выигрывает гранты, финансируемые тем же минкомсвязи (читай его бывшими подчиненными) из госденег. Вам мало? Ждёте агрументов, достаточных для доказательства коррупции? Так их вам в прессе и опубликуют... Разве что Рейтман не поделится с кем-нибудь и под него начнут систематично копать.
ПС. Я - обычный линуксоид, я голосую за тот или иной дистрибутив или отдельную программу, финансово поддерживая разработчиков. Даже если бы я был в восторге от программного продукта Росы, ей я не переведу ни копейки... В конце концов, имея Рейтмана и его связи, она в моих копейках явно не нуждается.

Если не пойдут, то вопрос о переходе и не стоит.

Был ли до Сноудена случай, когда кто-то прослушивал телефон канцлера Германии? В принципе вопрос не стоит так, что теряя тапки нужно выбрасывать компы с виндой в окно. Но с учетом того, что иногда приходят апдейты и устанавливаются, даже если апдейт запрещен, контроль за кодом малореален. Кроме того слухи о закладках в ПО ходят давно. А в случае конкретного конфликта вполне возможно просто одним апдейтом срубить почти ВСЕ компы в стране.

А тут и не надо сомневаться. Существует теоретическая возможность проверить и практическая расстрелять руководителей фирмы-производителя, если что

Более хуже. Даже Аэрофлот не покупал себе SSJ. Все, что летают в ихних ливреях, до сих пор в лизинге под Сбером и ВТБ. Мало того, там часть самолетов передана была за 75% от себестоимости.
Реально купленных самолетов и за реальные деньги и реальным авиакомпаниям (а не всяким Гособорон и ГосГаз) может с десяток наберется.

отлично, сравнили весь Аирбас с одним региональным самолетом.

в госучреждениях бывает по другому?

Реально задокументированные случаи были? Я за всю историю использования Windows такого не помню - самостоятельный апдейт без явного разрешения или подтверждения.
Разумеется, совершенно теоретически, это возможно, но где гарантия что этого не случится в дистрах линуха?

Очень теоретическая - это только абсолютные параноики будут делать, но - на полную проверку, к примеру, минимальной установки CentOS на уровне исходного кода (ядро + все приложения) и отсутствия в нём закладок уйдут годы для хорошей команды, в то время как обновления идут раз в неделю, и не всегда даже по диффам исходников можно уловить смысл изменений.
Да и проблемы не руководители делают, а совсем другие люди. Помню, на CentOS (или RedHat) был один апдейт на апач, который привел его в неработоспособное состояние - сеть была переполнена жалобами "у меня веб-сервер не работает".
Но даже если заплатку и обнаружат, всё равно хрен найдут виноватого (реально виноватого) - будь это open source или closed source.

Постоянно и официально. По лицензионному соглашению Майкрософт имеет право устанавливать критические обновления без согласия юзера. 3 месяца назад после очередного апдейта у половины фирмы сдохли инсталляции Дельфи. Непострадавшими оказались те, у кого апдейты были отключены. Они работали, пока остальные лениво рылись в инете и искали решение проблемы. Так вот на прошлой неделе у ВСЕХ вылезло собщение об апдейте и у счаслстливой второй половины Дельфи тоже сдох.

Эту гарантию дает изготовитель дестрибутива.

В принципе вы правы и все это теория. Поэтому все работают на виндовсе. Проблема теоретическая. Но поскольку Россия на что -то там претендует и конфронтирует с Америкой, проблема остается. Можно и приплыть. В критический момент компы откажут. А Майкрософт потом извинится.

С точностью до строчки и минуты загрузки кода в репозиторий. По distributed version control system. Мы использовали и VCS и SubVersion. Сейчас Mercurial. И не раз ловили за жопу коллег, которые "ничего не трогали." Но понятно, что не в американской компании.

Не процитируете пункт соглашения? Я нашел только про то что обновления для самого сервиса обновления (пункт 5.a в соглашении к Windows 8) могут быть без вопросов, но ничего про другие обновления, в т.ч. критические. В соглашении к серверу 2012 ясно сказано, что все функции обновления можно отключить (6 пункт). Лицензия к Windows 10 уже менее приятна, но и там не всё так ужасно.
К тому же, даже допустив что это так (что исключительно маловероятно) - что мешает особо озабоченным заблокировать доступ к серверам обновлений (их не так уж и много)?

Было бы интересно глянуть на конфигурацию рабочих станций и доменных политик - 99.99% что это было явно (или косвенно) разрешено и админы это пропустили.

Да что вы? В каком пунке лицензионного соглашения он это дает - к примеру, тот же Ubuntu? Они явно пишут, что используя их дистрибутив, пользователь соглашается со всеми лицензиями всех компонентов, а вот в каждой из них стоит почти одно и то же: "There is no warranty for the program, to the extent permitted by applicable law." ну и далее по тексту.
RedHat берет на себя частичную ответственность, но тоже далеко не за всё. Да и как он может гарантировать что засланный казачок или автор/дистрибутор/контрибутор определенного приложения не испортит что-то внутри?

Все только извинятся, особенно те кто дистры на линксе клепает - см. выше про отсутствие гарантий. Да, это будет удар по их репутации, но это фигня - вон в OpenSSL дыру нашли, да ещё какую - и что, перестали его использовать? Или кто-то был наказан? Кто-то заплатил за ущерб (а он был немаленький)?

В случае когда команда под контролем - да. В случае дистров линукса это не так - найдут с точностью до строчки и минуты что это сделал John Smith <j.smith@hotmail.com> - и это лучшее что они смогут, потому что там тысячи контрибуторов, и их личность никто не проверяет.
Причем, правильный Джон будет честно несколько лет зарабатывать репутацию, делать полезные и очень нужные правки, будет уважаемым контрибутором, но вот в час X возьмет и отправит "невинную" правку и уйдёт в отпуск - навсегда. Когда же обновления пройдут по всей установочной базе - всё будет под контролем, и заметят это, скорее всего, только через несколько лет (как было с OpenSSL).
Можно и более прозаично, минуя VCS - как пытались сделать с ядром в 2003 (так и не выяснили кто это был). Были также случаи компрометирования серверов с которых раздавались обновления, причем как по дистрам так и по отдельным приложениям или библиотекам (RedHat/Fedora в 2008 году).
В общем, не всё так радужно как может показаться.

И как косвенно? Виндовс 7 проффесионал. Раздел апдейт - никогда не искать апдейты. Сервис продолжал бегать.

Похоже, что я ошибся.

Чисто теоретически - через тот же виндовс? Или через маршрутизатор? Опять же , чисто теоретически, что мешает виндовс иметь резервные сервера? Если уж накручивать "теорию заговора"...

Одноранговая сеть, домена нет, рабочие станции настроены по умолчанию. Просто некоторые отключают апдейты.

Вы о чем? Я имею в виду, что если операционная система закупается у российского производителя для госучереждений и в коде будет убнаружена закладка, то есть возможность найти виноватого, а не жаловаться в спортлотто. При чем здесь лицензионное соглашение?

Нет. Российских производителей посадят. Реально. Поскольку и сама компания и ее сотрудники подпадают под юрисдикцию пострадавшего государства. Если в деянии будет выявлен умысел. И это разница между американской компанией и российской.

Если он был в домене, то политика домена имеет приоритет. Судя по описанию (апдейт прошел у всех) - так оно и было. В общем кто-то из админов накосячил но не признался - так нередко бывает.

Через маршрутизатор - для надежности. А чтобы не было шуток с резервами - делается всё просто - ставится чистый ОС, и наблюдаются все коммуникации - от DNS-запросов до конкретных соединений. Автоматом блокируем каждый засвеченный IP и имя, через месяц у нас есть все детали.
В общем, для особо параноидальных, есть способы, так что это не проблема, но, как я уже говорил раньше, исключительно маловероятно что это так.

Чисто теоретически. Первая проблема - человек, который будет виноват, может покинуть компанию и свалить на острова Кука за пару лет до активации (и обнаружения) закладки. Вторая проблема - нет никакой гарантии что никто не взломает VCS и не сделает это в обход трэкинга, или просто подставит кого-то.
Или, говоря другими словами, несмотря на то что можно кого-то взять за жабры, даже под страхом этого гарантировать отсутствие закладок - невозможно.

У нас нет админов.

Спасибо, я попробую порыть в этом направлении. Может я был не прав.