¿Tengo razón cuando asumo que generalmente es inseguro especificar las versiones máximas (o exactas) de una biblioteca en los requisitos del proyecto?
Depende.
Si el requisito se debe a un posible cambio de API en versiones posteriores, entonces este requisito tiene sentido. A menudo encontrará que las aplicaciones Java requieren una versión específica de Java ya que hay muchos cambios pequeños entre las versiones de Java que podrían (no necesariamente lo harán) romper la aplicación. A veces, el requisito solo dice con qué pila de software se probó y que no se dará soporte si se usa con otra pila de software.
Es malo e inseguro si este requisito significa que no puede actualizar la pila de software en caso de vulnerabilidades.
... la mayoría de los administradores de paquetes de Linux que básicamente "obligan" a los desarrolladores a migrar su software a nuevas versiones de bibliotecas.
En realidad no. La mayoría de las distribuciones de Linux no imponen la biblioteca más nueva en caso de vulnerabilidades con la versión anterior, sino que intentan llevar las correcciones de errores a la versión anterior. Solo cuando se lanza una nueva distribución, incluyen versiones más nuevas de la pila de software, pero también suelen incluir versiones más antiguas para dar al software existente las bibliotecas (más antiguas) que necesitan.
Al final, cada desarrollador solo tiene un tiempo limitado para realizar pruebas y, por lo tanto, las pruebas se realizan solo con algunas variaciones de la pila de software. Y la mayoría de los desarrolladores no tienen tiempo para adaptar y probar su software con cada nueva versión de una biblioteca o lenguaje de programación, etc.