Falls es dir nicht bewusst ist. Es gibt auch Open Source Produkte z.B. die innerhalb einer DMZ abgeschirmt von außen genutzt werden, die nach außen hin keine Anbindung haben.
So wie du das schilderst dürfte man im Prinzip nichts nutzen, da alles eine unbekannte Sicherheitslücke beinhalten könnte oder wie du sagst "in einem Patch mitgeliefert wird". Bsp. vor nicht allzu langer Zeit Tomcat mit Ihrer seit Jahren offenen Sicherheitslücke AJP die gerade erst publik gemacht wurde. Wie viele große Firmen nutzen Tomcat? Einige..