Mýlíte se ve dvou věcech – v tom, že backport je relativně bezpečný, a v tom, že všechny chyby lze opravit backportem. To, že backporty existují, neznamená, že řeší nějaký problém ani že žádný nevytváří.
Zrovna nedávno jsem někomu potvrzoval, který commit se vztahuje k jedné hlášené bezpečnostní chybě. Dotyčný si commit backportoval a byl spokojen, jak bezpečnostní problém vyřešil. No, nevyřešil nic, protože ten commit zaváděl novou bezpečnější variantu problematické funkce, protože tu původní není možné změnit – mohlo by to rozbít existující kód. Takže oprava té chyby znamená především začít volat tu novou funkci. Což samozřejmě dotyčný neudělá – za prvé nerozumí podstatě problému, za druhé by musel upravit všechny aplikace, které to používají.
Ale backport byl proveden a v tabulce je možné si to odškrtnout jako splněné.