O que acontece se houver um problema de segurança em um pacote no repositório do universo quatro anos após a versão 12.04 LTS; o pacote será atualizado do upstream, corrigido ou deixado sozinho?
Entendo que os "5 anos de suporte e atualizações de segurança" se aplicam somente ao núcleo do Ubuntu - qualquer coisa no repositório principal. Não para coisas no repositório Universe.
Para um exemplo mais específico - se eu instalar o Ruby agora, e quiser usá-lo nos próximos anos no 12.04 e ele tiver uma vulnerabilidade de segurança; enquanto isso pode ser corrigido no upstream (para que eu possa sempre fazer o download do mais recente de seu site e compilá-lo sozinho ou usar um PPA), essa correção upstream será migrada para os repositórios de pacotes precisos? E os backports?
Pacotes no Universo são mantidos pela comunidade. A obtenção ou não de atualizações de segurança depende inteiramente da comunidade que as utiliza.
As instruções para contribuir com atualizações de segurança para pacotes no Universo estão aqui:
Basicamente, qualquer um pode registrar um bug, anexar um debdiff, inscrever a equipe do ubuntu-security-sponsors e alguém da equipe irá verificar se está tudo bem, e depois patrociná-lo para o arquivo.
O exemplo que você forneceu, Ruby, está no repositório principal e é suportado por cinco anos:
$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y
Veja também minha resposta para "O 12.04 LXDE tem LTS?" e Como faço para obter uma lista de pacotes não-LTS instalados de forma eficiente? .
Para o software do universo, nem sequer é suportado oficialmente , , quanto mais por cinco anos. Do Wiki da comunidade nos repositórios :
A Canonical não oferece garantia de atualizações regulares de segurança para software no componente universo, mas fornecerá essas informações onde elas forem disponibilizadas pela comunidade.
No entanto, você pode esperar que os problemas mais graves em pacotes populares sejam corrigidos pela comunidade mantendo o software no universo . Apenas sem garantias.
Para os backports , minha opinião é que eles não devem ser usados na produção.