Due fattori principali nella probabilità di vulnerabilità aperte sono la frequenza delle modifiche e il tempo necessario per scoprire le vulnerabilità (e trasformarle in exploit).
Mentre una versione in sviluppo attivo ha più probabilità di introdurre una nuova vulnerabilità ... e la versione precedente ha avuto più tempo per gli aggressori per analizzare l'origine e creare nuovi exploit. È un po 'un atto di bilanciamento.
Considera anche che le versioni più recenti potrebbero aver introdotto maggiori barriere di sicurezza che non sono affatto presenti nelle versioni precedenti.
E quando viene rilevata una vulnerabilità, di solito viene applicata la patch per prima nella versione più recente e successivamente viene trasferita alle versioni precedenti. Quindi il tempo per sistemare è di solito un po 'più veloce nelle nuove versioni (abbiamo sicuramente visto questo con Meltdown in Debian, dove Debian 9 ha ottenuto una patch quasi immediatamente, ed era settimane prima che fosse backportato su Debian 8).