Tach,

So kann man natürlich auch veraltete Software patchen.

das ganze basiert meiner Meinung nach auf mehreren Problemen bzw. Missverständnissen:

1. jwz hat ein berechtigtes Interesse daran, keine Bugreports für veraltete Versionen zu bekommen; das ist ein Anwenderproblem: Bug-Reports für Bugs mit Debian-Software sollte nie bei ihm landen, sondern im Debian Bug-Tracker.
2. jwz ist nicht klar oder er ignoriert, dass seine Security-Patches backportet werden.
3. Es besteht die Möglichkeit (eine ziemlich gute, da jwz der Meinung ist, dass jeder Patch ein solcher ist), dass die Vorstellung des Paket-Maintainers von xscreenserver bei Debian und jwz, was genau ein Security-Patch ist, unterschiedlich sind.
4. Es gibt ein prinzipielles Verständnisproblem bei Entwicklern dafür, wo der Nutzen von Distributionen liegt und bei Administratoren, warum die Entwickler darin ein Problem sehen. Ich arbeite im Moment als Admin und stehe entsprechend Rolling Releases skeptisch gegenüber, ich habe einfach nicht die Zeit, um jegliche verwendete Software auf allen Bauarten von Hardware in jeglicher verwendeter Kombination zu testen, bevor ich sie ausrolle; einen größeren Teil dieser Tests lagere ich an die Maintainer/Tester der Distri aus. Ein Fehler des Entwicklers von xscreenserver könnte bei mir 60 Desktops unbrauchbar machen, bis ich entweder auf eine ältere Version zurückgehe oder eine neue Version erscheint; für ein paar Pakete kann ich das machen, für ein paar Hundert eher nicht und dann ist es halt die Abwägung, wo ich das größere Problem sehe, Patches potentiell ein paar Tage später (im schlimmsten Falle gar nicht) zu bekommen, oder unzufriedene Kollegen zu haben, weil mal wieder gar nichts geht.

mfg
Woodfighter