Ad počet odhalených a opravených vulnerabilit vůči počtu zneužitelných vulnerabilit - tam je problém v tom, že se takové tvrzení velmi špatně prokazuje.
Pokud je cílem bezpečný kód, tak to chce OS typu Singularity, ve kterém se díky konstrukci jazyka (zde C# a jeho nadstavby) dají statickou analýzou prokázat požadované vlastnosti. Například to že kód nemůže sáhnout mimo přidělený adresní proces, nebo že v kódu nemůže dojít k deadlocku.
https://en.wikipedia.org/wiki/Singularity_(operating_system)
Windows mají Embedded edici. V současné době MS nabízí Windows 10 IoT Core (no shell, boot to app, s displayem nebo bez), IoT Mobile (ARM-only, více-méně komponentizované Windows 10 Mobile) a IoT Enterprise (více-méně komponentizované desktopové Windows 10). Samozřejmě čím menší attack surface, tím lépe zranitelností se systému týká. Pokud jde o kernel, tak neznám nikoho kdo by znal kernel Linuxu i Windows, a hodnotil ten první jako kvalitnější.
http://wincom.blob.core.windows.net/documents/Windows10_IoT_Overview_Datasheet.pdf