> В твоей логике есть проблема. Все дело в том, что мейнтеры понятия
> не имеют, как работает код пакетов, и максимум что они могут
> сделать - добавить дыр и косяков в собранный пакет или забекпортить
> уже сделанный разрабами фикс.

Нет, дружок, я еще и ченджлоги к пакетам читаю. И поэтому получше тебя представляю себе возможности майнтайнеров, так что втереть мне очки - не получится, увы. И в именно дебиане достаточно народа для того, чтобы майнтенансом обычно занимался кто-то имеющий интерес к тому чем он занимается и поэтому более-менее разбирающийся в этом. Обломы конечно же бывают, как с openssl, но там вышел сбой совместной игры с разработчиками openssl, подтвердившим по запаре безопасность изменений. Разработчики openssl и сами по себе довольно посредственны в крипто и секурити, если что.

Ты наверное попутал с альтлинуксом, где на одном шигорине полсотни пакетов, и зная его програмерские умения - да, вот там я усомнюсь что он в коде ffmpeg хоть что-то смыслит. А хотя-бы потому что никогда не видел его кода на си и не уверен что он на этом вообще шпрехает.

> В лучшем случае мейнтер читает документацию и импортит пакет в более-менее
> первозданном виде, постоянно обновляя его.

Кто сказал такую глупость? У дебиана толпа патчей на пакеты относительно апстрима. Кроме всего прочего они реализуют и политики относительно поведения софта, секурити, свобод и всего такого. По возможности их уталкивают в апстрим, чтобы но успех этого начинания варьируется. Ну то-есть гуглу и мозилле например не засабмитишь патчи избавляющие браузер от троянского г@вна, потому что апстрим ХОЧЕТ трояны пользователю пхать. А дебиан - не хочет это своим пользователям отгружать. И соответственно отпатчивает. И в зависимости от программы diff'ов может быть и довольно изрядно. Так что назвать дебиан ванилькой можно только с перепоя или от своего ламерства. Насчет первого не уверен, а вот второе - да, ты видный ламак, мнение которого в безопасности учитывать я бы не рекомендовал, во избежание.

> Вот только большинство пакетов уже давно заброшены, и уязвимы против того же spectre.

Да вообще-то дебианщики в testing пересобрали хренову кучу всего распоследним релизнутым gcc. А то что все это не вывалено мигом на бошки юзеров стабилизца - политика партии такая. Не превращают они продакшн в тестовых кроликов для экстренного испытания экспериментальных вакцин. Даже если это приносит какие-то свои компромиссы, оно вот так. Кому это не нравится - использует что-то отличное от Debian Stable, наверное.

> Удачи в твоих грезах)

Я то как раз неплохо понимаю кто, что и почему и не питаю иллюзий. Вместо этого стараюсь реалистично оценивать разблюдовку сил, компромиссы и карту местности. И соответственно в зависимости от того что хочется получить и приоритетов и танцуем. Спектр - ну да, плохо. А заваленый продакшн с юзерами - еще хуже. Спектр требует выполнения кода атакующего на той же машине. Это атакующему доступно не всегда и не везде, поэтому резко рушить продакшн для защиты от спектра может и не быть хорошей идеей, если там не было атакующих которые код могут выполнять. Не говоря о том что спектр довольно геморный и глючный в эксплуатации, поэтому реальный threat level - умеренный.