La mise à jour régulière est je trouve un moyen efficace d'être sécurisé. La plus part des malwares et attaques mettent quand même du temps à se propager à grand échelle, en tout cas pour les utilisateurs lambda. Ils ciblent donc forcément des versions moins à jour.
Le circuit habituel, c'est qu'une faille est détectée sur un produit X, les développeurs de ce produit X vont pour la corriger sortir une nouvelle version. C'est rare qu'ils fassent directement du backport eux même (sauf s'ils gèrent une sorte de version LTS de leur produit).
Alors que les distro dites "stabilisées", avec leur circuit de backporter un patch vers une version plus ancienne, je trouve ça pertinent pour certains cas, heureusement, mais ça reste moins naturel, ou en tout cas ça demande plus d'effort. Surtout que souvent en plus les développeurs du produit X ça ne les intéressent pas (ils se concentrent sur la version à jour). Et ça demande aussi un effort certains pour suivre les failles, les backporter comme il faut etc car on finit par avoir une version spécifique à la distro pour le produit X. Ce qui peut aussi être un avantage quelque part...
Bref on peut pas tout avoir. Soit un produit stabilisé, avec une version figée pour éviter les ajouts de fonctionnalité, de code, et donc de bugs et/ou de failles. Soit un produit à jour tel que vu par ses créateurs, plus simple à suivre pour l'utilisateur niveau sécurité, mais avec toujours beaucoup de changements, en bien ou en mal... Mais forcement ils peuvent faire des refontes, du code et des approches plus modernes etc Fedora existe aussi pour ça, avoir la souplesse qu'il n'est pas possible d'avoir sur RH/CentOS. Pour tester, tenter des choses, et pas trainer un passif tel un boulet.
Mais ça va aussi dépendre des projets, certains développeurs sont pas forcément à la pointe question sécurité. C'est un métier à part entière.
Donc vaut-il mieux faire confiance aux développeurs d'un projet donné, question sécurité, ou vaut-il mieux faire confiance à l'équipe sécurité en charge des backports de la distro ?
Normalement les distro dites "stabilisées" existent à la base plutôt pour garantir un environnement logiciel qui ne cassera pas pendant un certains nombres d'années. Pour ceux qui développent des logiciels qui s'appuient fortement sur une version d'une lib, ou d'un kernel, c'est très important. Mais pas forcément pour des questions de sécurité à la base. Faut dire que Linux est déjà bien foutu de base!
Voilà pour mon avis, une belle réponse de normand ?
Y'a un truc que j'aime bien par ex sur github, y'a des bots qui proposent automatiquement des patchs sur des failles de sécu, sur l'utilisation de vieilles bibliothèques etc (genre
https://dependabot.com/) donc ça va dans le bon sens. Bref on a de plus en plus de meilleurs outils pour la sécurité, c'est rassurant non ?