Sicherheitspatches existieren zwar und werden eingepflegt [...]
Das ist absolut ungeeignet für IoT. Am Raspberry Pi sieht man, wie es besser geht, obwohl mir ein echtes Debian auf dem Pi noch lieber wäre.
Sicherheitspatches werden bei Debian auch nicht eingepflegt. Zum Beispiel werden die SHA-1Keys erst 10 Jahre (!) nach Bekanntwerden der Schwächen langsam abgelöst. Insofern müsstest du dich in Punkto Sicherheit bei Yocto wie zu Hause fühlen.
Sicherheitspatches werden bei Debian auch nicht eingepflegt. Zum Beispiel werden die SHA-1Keys erst 10 Jahre (!) nach Bekanntwerden der Schwächen langsam abgelöst. Insofern müsstest du dich in Punkto Sicherheit bei Yocto wie zu Hause fühlen.