私のDebianでは、セキュリティ更新のみを行っています。
deb http://security.debian.org/debian-security/ buster/updates main
deb-src http://security.debian.org/debian-security/ buster/updates main
たとえば、Debianは最近10.3から10.4に移行しましたが、まだバージョン10.3を使用していて、利用可能なセキュリティアップデートを自動的にインストールしています。
セキュリティで十分ですか?
バージョンが古すぎてサポートされなくなることを彼らが発表するまで、それで十分です(その時点で、セキュリティ更新の提供を停止します)。これは最新のリリースの1つなので、 this table が正確であれば、少なくとも2022年までは問題ありません。
このように考えてください。もしそれがセキュリティに十分ではないのなら、なぜ彼らはセキュリティ更新を提供し続けるのでしょうか?
もちろん、セキュリティ更新プログラムをインストールするだけで、他の設定(弱いパスワードなど)によってシステムが安全でなくなるのを防ぐことはできませんが、その点では10.3と10.4に違いはありません。