Большая часть моего опыта связана с Ruby on Rails, поэтому я поделюсь с ним тем, что видел за последние несколько лет.
Обновления Rails с довольно хорошим клипом, но вам не нужно их обновлять, если вам не нужны функции или редкий патч безопасности. Например, у меня сейчас работает приложение rails, работающее в нашей компании, которое было написано около 2,5 лет назад, и для этого нужно было лишь поработать над ним один раз в этом году, чтобы обновить его до новой версии для совместимости с apache mod_rails. изначально был написан против Rails 1.2 я верю. Конечно, это было интранет-приложение, которое не имело никаких требований безопасности. В общем, это было довольно безболезненно. Если бы я продолжал использовать mongrel + mod_proxy, его не нужно было бы обновлять только один раз для исправления безопасности.
Rails довольно безопасен, уязвимости довольно далеки. Было несколько больше уязвимостей Ruby, чем уязвимостей Rails, если память мне не изменяет, но в целом это довольно солидно, и обновление вашего ruby не должно нарушать рельсы, особенно если вы используете дистрибутив, который портирует исправления безопасности.