Attól, hogy nem tojok rendszeresen tojást, még meg tudom állapítani, hogy záp-e vagy sem az adott produktum, maradjunk ennyiben. Szoftverfejlesztés- és karbantartás terén a tojásnál jóval több tapasztalatom/gyakorlatom van - mint írtam, olyan esetekben is, ahol nem a "gyorsan kibüfi valamit" volt a cél, hanem agyontesztelt/auditált kód. Nagyon más világ a kettő.
Neked sajnos arról nincs fogalmad, hogy a rendszer- alkalmazás- és adatbiztonság fogalmak mit jelentenek, hogyan viszonyulnak egymáshoz, mire kell(ene) a fejlesztőknek odafigyelni.
Az izoláció egymástól talán megvédi az alkalmazásokat - viszont a kezelt adatok nem csak az alkalmazás izolált környezetében léteznek, szükséges adatokat cserélni, aminek során kikerül az adat az adott "biztonságos" környezetből (de eközben is az app felelőssége, hogy maximálisan biztosítsa az adatok teljes integritását), illetve bejön az a probléma, hogy azonos jellegű/feladattal bíró komponensből n+1 darab lesz a rendszerben, ami megsokszorozza a biztonsági kockázatokat, hiszen nem lehetek biztos benne, hogy az xyz lib ismert hibája minden egyes alkalmazás esetén, ami sajátot hoz belőle, javítva lett.
Ha az ilyen közös komponensekből csak kellően kis számú telepíthető, _és_ az alkalmazások önmaguk nem hozhatnak saját verzíót, akkor lehet jó is a dolog, de igen erősen meg kell húzni azt a határt, ami még ésszerűen karbantartható úgy, hogy egy adott frissítés után a rendszerről ki lehet jelenteni, hogy például az openssl CVE-12345678-as sérülékenységétől teljes mértékben mentes. Ha ilyen állapot nem érhető el, az szerintem baj. (a QML plugin is hordozhat integritást veszélyeztető hibát :-P)