Názor k článku NXNSAttack: zastavte nový druh útoku náhodnými dotazy, aktualizujte resolvery od Filip Jirsák - No a nebo nové přidávají. V průměru ale víc...

No a nebo nové přidávají.
V průměru ale víc chyb opraví než přidají. Navíc opravují známé chyby, které někdo může zneužít. Nové chyby teprve někdo musí objevit, aby je mohl zneužít.

A to je pro určitá nasazení riziko.
Dobře, pro některá nasazení je riziko používat bezpečnější verzi a raději se používá méně bezpečná verze. To beru. Zároveň je čím dál větší riziko používat méně bezpečné verze. Takže přestává platit „nám nevadí používat méně bezpečnou verzi, můžeme si to dovolit“. Struktura rizik se holt mění a ignorovat bezpečnostní rizika přestává být přijatelné. V některých případech tedy bude nutné řešit to, jak se bránit nežádoucím funkčním změnám v situaci, když musím řešit i bezpečnost. Přičemž řešení je známé a používá se – automatizace nasazení a testování. Nejprve se provádějí syntetické testy v předprodukčních prostředích, když procházejí, nová verze se dostává dál, až postupně se nasazuje i do produkčního prostředí. A monitoruje se, a pokud by se začaly vyskytovat nějaké anomálie, release se zastaví nebo se vrátí zpět předchozí verze.

Ale Vy pořád máte premisu, že změny v nové verzi opravují chyby. Podle mě je spíš přidávají. Ale pravda může být někde uprostřed.
Kdyby platila vaše varianta, software by byl čím dál horší a nejlepší by byla hned první verze. To samozřejmě neplatí. Pravda není někde uprostřed. Pravda je taková, že když si budete náhodně vybírat verze a vždy je porovnáte, v průměru bude novější verze lepší. Samozřejmě se občas stane, že se nějaká verze nepovede. Ale pak je potřeba to v následující verzi opravit a opravu vydat co nejdřív.

Něktéré bezpečnostní chyby se možná opraví, jiné ale zase udělají.
Ano, ale bezpečnost se celkově zlepšuje. Jinak by nemělo smysl software vyvíjet.

Ale nové chyby s dopadem na funkčnost vznikají jen v upstreamu.
To je omyl. Nové chyby s dopadem na funkčnost samozřejmě vznikají i v distribucích. Akorát že tam je podstatně menší počet uživatelů, než v upstreamu, takže mají menší dopad.

Pokud je jiná, tak se oprava nemusí podařit v LTS, upstreamu nebo obou. Opět to neukazuje, že upstream je lepší.
Jenže pravděpodobnost, že tu opravu dělá vývojář, který kódu dobře rozumí a je si vědom všech souvislostí, je mnohem vyšší v upstreamu než v distribuci. Upstream je obecně lepší ze třech důvodů – za prvé je tam větší množství oprav, za druhé jsou ty opravy dělané s lepší znalostí problematiky, za třetí je to více testované.

Ale to přece není problém Googlu, ale výrobce.
Ale proč je to problém pro výrobce? Protože místo toho, aby postupně bez problémů aktualizoval jednotlivé komponenty, má LTS řešení, které znamená v jednom okamžiku prakticky zahodit vše předchozí, a sestavit novou distribuci prakticky od začátku.

A představte si, že jsou i šílenci, co si platí delší podporu pro Debian. Takový nerozum, viz. freexian.
To, že někdo něco dělá, opravdu neznamená, že je to rozumné.

A premisa, co je nejnovější je lepší, nepříjmám.
Já netvrdím, že je to tak vždy, ale že je to tak obvykle. No a pokud si myslíte, že software je čím dál horší, pak nemá smysl software vyvíjet. A nebo ho nemusíte aktualizovat. Můžete si spokojeně používat nejstarší verzi, kterou seženete, a diskuse o aktualizacích vás nemusí trápit.