为什么有一个单独的Debian安全更新软件包存储库？

他们为什么不将软件包上传到正常的软件包存储库？这是一般惯例吗（IE，其他发行版是否也将存储库分开）？

Debian的发行渠道仅提供安全更新，因此管理员可以选择仅以绝对的最小更改量运行稳定的系统。此外，此分发通道与常规通道保持一定的距离：所有安全更新均直接从提供security.debian.org，而建议将镜像用于所有其他内容。这具有许多优点。（我不记得其中哪些是我在Debian邮件列表上阅读的官方动机，哪些是我自己的小型分析。其中一些是在Debian安全性FAQ中涉及的。）

• 安全更新将立即传播，而不会因镜像更新而造成延迟（这可能会增加大约1天的传播时间）。
• 镜子可能会过时。直接分发避免了该问题。
• 作为关键服务维护的基础架构更少。即使Debian的大多数服务器不可用，人们也无法安装新软件包，但只要security.debian.org指向可用的服务器，就可以分发安全更新。
• 镜像可能会受到损害（这在过去已经发生过）。观看单个分发点更容易。如果攻击者设法将恶意程序包上传到某处，则security.debian.org可以将具有最新版本号的程序包推入。根据漏洞利用的性质和响应的及时性，这足以使某些计算机不被感染或至少警告管理员。
• 拥有上载权利的人越来越少security.debian.org。这限制了攻击者试图破坏帐户或计算机以注入恶意程序包的可能性。
• 不需要普通Web访问的服务器可以保留在仅允许security.debian.org通过的防火墙后面。

我很确定Debian也会在常规仓库中添加安全更新。

拥有单独的仅包含安全更新的存储库的原因是，您可以设置服务器，将其仅指向安全存储库并自动执行更新。现在，您已经拥有一台保证具有最新安全补丁程序的服务器，而不会意外引入由不兼容版本等引起的错误。

我不确定其他发行版是否使用了这种确切的机制。有一个yum插件可以为CentOS处理这种事情，并且Gentoo当前有一个安全邮件列表（portage当前已被修改以支持仅安全更新）。FreeBSD和NetBSD都提供了对安装的端口/软件包进行安全审核的方法，这些端口与软件包与内置的更新机制很好地集成在一起。总而言之，Debian的方法（也许是Ubuntu的方法，因为它们是如此紧密地相关）是解决该问题的一种精打细算的方法。

它有助于两件事：

1. 安全-首先获取安全修复程序，然后在更新其余安全信息时风险较低
2. 安全更新应该以较高的安全级别存储，因为您倾向于依靠它们来保护系统的其余部分，因此，此存储库可能具有更强大的安全控制措施，可以防止泄露

可能还有其他原因，但这是我认为有用的两个原因