In de praktijk is "open source" een spectrum aan licentiekeuzes, geen simpele aan/uit-knop. Permissieve licenties zoals MIT en Apache 2.0 laten iedereen de code hergebruiken of herverpakken, zelfs in gesloten commerciële producten, terwijl copyleft-licenties zoals GPL of LGPL vereisen dat elke aangepaste versie ook open blijft. Bitcoin Core wordt bijvoorbeeld volledig onder de MIT-licentie uitgebracht, terwijl de codebase van Ethereum versnipperder is: veel bibliotheken gebruiken MIT, maar kernclients zoals Geth vallen onder GPLv3 of LGPLv3, wat iedereen die een aangepaste client uitbrengt kan verplichten om die wijzigingen ook te publiceren.
Open code doet er vooral toe wanneer er geld op het spel staat. De logica van een smart contract bepaalt precies hoe funds bewegen, dus door die broncode te publiceren en te verifiëren op een block explorer kunnen onafhankelijke onderzoekers controleren op verborgen mintfuncties, geblokkeerde verkooporders of achterdeurtjes voordat kapitaal wordt ingelegd. Projecten die contracten ongeverifieerd of gesloten houden, verwijderen die laag van controle; verschillende gedocumenteerde rug pulls slaagden juist omdat aanvallers code exploiteerden die niemand buiten het team kon inspecteren.
Het meeste blockchain-infrastructuur, van consensus-clients tot wallets, staat publiek gehost op platforms zoals GitHub, waar iedereen fixes kan voorstellen of het project volledig kan forken. Deze openheid ligt aan de basis van de mentaliteit van continu, permissieloos bouwen die soms "BUIDL" wordt genoemd. Toch is open source op zichzelf geen garantie voor veiligheid: gepubliceerde code kan onopgemerkte bugs bevatten, en een licentie regelt alleen hergebruik en distributie, niet de kwaliteit van een audit. Het is een noodzakelijke voorwaarde voor trustless verificatie, geen vervanging ervan.