En fait, cette histoire de versions stabilisées est un vrai problème. Bien souvent, les éditeurs de logiciels ne supportent qu'une version majeure et deux ou trois versions mineures d'un service/d'une application.
Je prends l'exemple très bête de PHP :
- Mise en place d'un serveur web applicatif (appelons l'appli APPLI) dans une infra de type LTS. L'application est certifiée pour PHP 5.2 pour sa version en cours.
- Failles dans APPLI corrigées dans une version majeure ultérieure qui ne supporte que PHP 5.3
- Mise à jour vers PHP 5.3, mise à jour de APPLI
- Failles dans PHP 5.3. PHP 5.4 n'est pas supporté par la distrib, sauf à utiliser des repos non officiels.
- Mise à jour vers PHP 5.4 (en serrant les fesses, il n'y a pas de certification pour APPLI en 5.4)
- Faille de APPLI. Une version corrigée existe, mais il faut PHP 5.6. La montée de version de la distrib nous permettrait de fonctionner correctement, mais manque de temps pour tester un changement d'environnement.
- Décision de changer d'environnement avec une installation toute neuve. L'applicatif supporte uniquement PHP 5.6 à ce jour. On doit donc installer une distrib récente qui propose 5.6 (qui a déjà 2 ans), sans savoir comment on assurera la migration vers PHP7.

Alors oui, on peut toujours dire qu'il suffit d'organiser les migrations, de faire du suivi strict etc. Mais le réel souci est qu'on n'a pas le temps de faire ça (en tout cas, nous au boulot : on est 3 - une responsable de service qui fait le politique, un pour l'infra et le parc, moi pour le développement, l'intégration et les annuaires). Donc on laisse des serveurs avec des trous de sécu et on serre les fesses (parce que même une LTS n'est pas supportée assez longtemps pour nous permettre un suivi sur des durées qui nous iraient).
Je crois qu'entre tout (serveurs appli, serveurs infra, autocom, SSIncendie, contrôle d'accès, serveurs pour les postes de travail virtualisés, serveur mail, serveurs du PRA, pour la sauvegarde...) on doit superviser plus d'une centaine de serveurs. Autant dire que c'est juste impossible.J'en viens presque à me dire que la solution serait d'avoir des serveurs en rolling releases comme Arch Linux, où on arrête de mettre à jour éventuellement un paquet donné à partir du moment où la compatibilité applicative est mise en danger, mais où on peut continuer d'avoir des mises à jour pour tout le reste ce qui permet de garder un environnement relativement sain...