OpenSSL wurde (und wird) praktisch überall im Security Bereich benutzt.
Für Transport Layer Security, zum Erzeugen und Validieren von Schlüsseln
und Zertifikaten. Usw. usf.

Der Heartbleed-Bug wurde am 31. Dezember 2011 "eingepflegt" und ging am
14. März 2012 live. Behoben wurde er zwei(!!) Jahre später, am 7.
April 2014.

Der Bug war nicht mal besonders kompliziert oder schwer zu finden (simples
bounds checking hätte genügt). Außerdem könnte man erwarten, dass
sicherheitsrelevante Komponenten (OpenSSL) - anders als z.B. ein einfacher
Open Source Texteditor etc. - doppelt und dreifach überprüft würden.
Nada.

Soviel zum Thema: Open Source ist sicher weil es jeder überprüfen kann.

Die meisten Firmen nutzen Openssl etc., welches kritisch für den Betrieb vieler ihrer Dienste im Netz sind, und geben nur selten einen Cent dafür aus oder verwenden eigene Mitarbeiter, um Patches einzupflegen.
Wenn dann ein, wie du sagst, simpler Fehler auftaucht, der in diesem Falle vorher sogar einfach umgangen werden konnte, ist das Geheule groß, und der mehr oder weniger hauptamtliche Openssl-Entwickler, der das womöglich auch nur in seiner Freizeit macht, kriegt eins aufs Haupt.

Und - man kann ein Programm nicht auf das Vorhandensein von bislang unbekannten Fehlern testen! Aber das bekommt die Presse immer noch nicht auf die Reihe.

Sicher ist nur, wenn Du den Netzwerkstecker ziehst

Nope! :)