Além da frequência de atualizações, a escolha de pacotes que são colocados na distribuição é significativa. Se o Ubuntu adicionar pacotes de ponta e, em seguida, tiver que consertá-los constantemente, e o CentOS colocar apenas pacotes de linha estáveis e, ocasionalmente, correções apenas quando surgirem problemas de segurança, as notificações NÃO serão um bom indicador de melhor segurança. Não estou dizendo que esse é o caso, mas sua qualificação não é um bom teste e, como O Alpha01 disse , que a segurança para duas distribuições modernas atualizadas realmente depende do administrador.