Bem, só porque a versão antiga dum pacote não tem vulnerabilidades relatadas, isso não significa que ele seja mais seguro que o outro: ele pode ter vulnerabilidades não relatadas.

O ideal que é um pacote de código aberto tenha seu código auditado por diferentes times externos de programadores, quando ele incorporar qualquer mudança importante.