Trochę rzut monetą ;)
Trzeba wziąć pod uwagę trzy czynniki:
- Czy błędy bezpieczeństwa są łatane w miarę szybko?
Z tego co mi wiadomo, to nawet w stable/LTS poprawki na błędy bezpieczeństwa są dostępne bardzo szybko.
- Jakie jest prawdopodobieństwo wprowadzenia zmiany niezwiązanej z bezpieczeństwem (np. nowy feature), która wprowadza nieumyślnie nowy błąd bezpieczeństwa?
W stable/LTS nowe ficzery są wprowdzane rzadko, więc ten problem jest tam mniej dolegliwy, niż w przypadku rolling/nightyly/etc.
- Jakie jest prawdopodobieństwo wprowadzenia poprawki z backdoorem, tj. takiej dodanej przez złośliwego aktora?
Tu dużo zależy od systemu dystrybucji i tego jak często sam system operacyjny pobiera łatki, i jak często użytkownik pobiera łatki (apt-get upgrade). Problem więc będzie w równym stopniu dotyczył rolling/nightly /etc jak i stable/LTS/etc. W przypadku Debiana/etc problem nie jest aż tak duży jak w przypadku third-party aplikacji.
Z tego co napisałem powyżej wynikałoby, że stable/LTS generalnie powinny być statystycznie bardziej bezpieczne.
Ale powyższe rozważania nie wpływają zupełnie na kwestię 0-dayów ;)