A biztonsági rés nem akkor keletkezik amikor annak létét nyilvánosságra hozzák. Még csak nem is akkor, amikor ezt megelőzően tájékoztatják erről a fejlesztőt. A biztonsági rés kezdetektől jelen van és, hogy azt korábban mások titokban nem fedezték fel és használták ki egyáltalán nem biztos. Minél régebbi binárisok vannak egy különben is összetett rendszerben, ennek kockázata annál nagyobb. Friss szoftverekre épülő rolling release sem jelent jelent teljes biztonságot, de mozgó célpontként védettebb biztonsági oldalról. Több hiba van rollin release modellben, de biztonsági hibák rövidebb ideig vannak egy egy szoftverben a rendszeresen cserélődő új verziók miatt.
Nyílt forráskódú fejlesztési modellben az is szempont, hogy rolling release-nél általában a fejlesztő maga javítja a biztonsági hibákat. Hosszú támogatottságú stable modellben már néha nem a fejlesztő hanem a csomag karbantartója javítja az ismerté vált biztonsági hibákat.
A rolling release modell achilles sarka az lehet, ha szándékosan épülnek be a fejlesztők közé rossz indulatú fejlesztők, akik azért rakják be tudatosan biztonsági hibákat tartalmazó kódjaikat, hogy azt nyomban ki is használják. De ez csak elmélet. Szvsz itt még szerencsére nem tartunk. De maintainer szintre már bizony elértek gyanús szándékú emberek. Hogy mást ne említsek: Kurt Roeckx openssl "bakija".