Ich kann hier jetzt wieder nur für Debian sprechen, aber bei Debian ist es normalerweise so, dass die Security-Fixes zuerst in Debian stable berücksichtigt werden.
Debian unstable bekommt die Fixes, wenn der jeweilige Maintainer ein neues Paket erstellt. Und von dort wandert das neue Paket dann erst in Debian testing, wenn keine (neuen) Bugs entdeckt werden. Nur in ganz dringenden Fällen, werden die Fixes in Debian testing vorgezogen.
D.h. Debian testing bekommt Security Fixes im Normalfall später als Debian stable.
Details dazu hier: https://www.debian.org/doc/manuals/securing-debian-manual/ch10.en.html#security-support-testing