> Minél régebbi binárisok vannak egy különben is összetett rendszerben, ennek kockázata annál nagyobb.
> [...] biztonsági hibák rövidebb ideig vannak egy egy szoftverben a rendszeresen cserélődő új verziók miatt.
Nem a "minél régebbi bináris" az összehasonlítás tárgya, hanem a "régebbi verzió plusz security javítások" kontra ugyebár "újabb verzió" a rolling esetén. Így viszont nem látom állításodat alátámasztottnak, sőt, épp ellenkezőleg!
Biztonsági hibák többnyire véletlenül jelennek meg, kiszámíthatatlan módon fedeződnek fel, viszont a legritkább esetben tűnnek el véletlenül. Az eltűnésüket megelőzi a felfedezésük, tudatos javításuk. Ebből viszont pont az következik, hogy a valamivel régebbi, valamelyest már "bejáratott" verziók (plusz ugyebár az ismert hibák javításai belepatchelve) megbízhatóbbak, mint a friss ropogós verziók.
Nyilván ezt nem lehet a végtelenségig tolni persze, egyrészt kellenek az új feature-ök is, másrészt a régi verziókat elkezdik elhanyagolni a fejlesztők, harmadrészt néha a javítás komoly architekturális átalakítást igényel és ilyenkor csak új verzióra átállás jöhet szóba. Szóval nem azt mondom, hogy aki a biztonságra utazik, az használjon 20 évvel ezelőtti verziót. De használjon 1-2 éveset az ismert hibák javításaival, és ne tegnapit.
> Nyílt forráskódú fejlesztési modellben az is szempont, hogy rolling release-nél általában a fejlesztő maga javítja a biztonsági hibákat. Hosszú támogatottságú stable modellben már néha nem a fejlesztő hanem a csomag karbantartója javítja az ismerté vált biztonsági hibákat.
Ez azért többnyire a fő fejlesztők által készített patch backportolása, illetve rendes esetben a fejlesztők maguk backportolják a javítást régebbi verziókra is ha az nemtriviális.
> A rolling release modell achilles sarka az lehet, ha szándékosan épülnek be a fejlesztők közé rossz indulatú fejlesztők
Ez pedig megint egy teljesen más történet, ahol roppant aggasztó az is, hogy szinte bármely fejlesztés "git clone" majd buildelés, "npm install", "pip install", hasonló lépésekkel kezdődik.