Naja selbst für debian stable ist es teilweise sehr schwierig, die Sicherheitslöcher in Webapplikationen stopfen. Weswegen z.B. ownCloud gerade wieder aus wheezy rausgekegelt wurde. Weder Mantainer noch Upstream vorstellen konnte, die Version 4.0 weiter zu pflegen. Meist sind halt die Entwicklungsmodelle für Webapplikationen halt zu schnell, und Upstream achtet halt nicht auf ältere Versionen...
Die Folgen von Löchern in Webapplikationen sind halt sehr viel schwerwiegender als bei einer Desktopapplikation. Auf einen Webserver folgen schon Stunden nach bekanntwerden eines Bugs die ersten Angriffswellen gegen einen Server. Beim Desktop ist meist noch eine irgendwie geartete Firewall zwischen Rechner und Internet.
Ich würde agaidas Warnung auch sehr so interpretieren: Wenn mensch wirklich einen Dienst öffentlich anbieten will, sollte er Ahnung der Materie haben und auch in der Lage sein eine Webapplikation von Hand zu installieren. Eine Installation abseits der Paketverwaltung ist ja auch nicht der Weisheit letzter Schluss
Schließlich muss ich mich da selber drum kümmern das zeitnah zu updaten, was leider dann auch meist mehr als ein Handgriff ist. Mich auf entsprechenden Mailinglisten einschreiben, die Webapplikation verfolgen etc.
Vorsicht sollte immer geboten sein bei in irgendeiner Programmiersprache geschriben Webapplikationen, die während der Benutzung ausgeführt werden PHP, Python, Ruby, cgi, fcgi,.. dann halt bei neuen Projekten, wie z.B. ownCloud, die einfach noch nicht die Grausamkeit des Internet verinnerlicht haben oder halt Projekte die extrem häufig installiert sind z.B. wordpress, da hier der Einbruchsdruck sehr hoch ist.
Andererseits Munin z.B., der einfach statisch Webseiten erzeugt, ist dagegen ziemlich harmlos. Da kann halt einfach niemensch einbrechen... Jedoch muss trotzdem apache/nginx o.ä. noch konfigurirt werden, dass nicht alle Menschen die Munin Seiten sehen können o.ä.