número diferente de atualizações de segurança disponíveis no script apt-check e unattend-upgrades

Descobri que há diferença entre o número de atualizações de segurança em check_apt e unattended-upgrade scripts .

O script comum /usr/lib/update-notifier/apt-check usa a função isSecurityUpgrade(ver) na linha 40 para determinar o status do pacote. E parece que funciona normalmente. É simples de entender lendo um código de função.

Existe um resultado de check_apt :

root@pandora:/home/sysadmin# /usr/lib/update-notifier/apt-check --human-readable
125 packages can be updated.
4 updates are security updates.

Mas unattended-upgrade não inclui esses pacotes para atualização.

root@pandora:/home/sysadmin# unattended-upgrade --dry-run -v
Initial blacklisted packages: 
Starting unattended upgrades script
Allowed origins are: ['o=Ubuntu,a=trusty-security', 'o=trusty,a=nginx']
Option --dry-run given, *not* performing real actions
Packages that will be upgraded: 
Packages that are auto removed: ''
Packages auto-removed

Eu os encontrei manualmente (adicionando saída de depuração personalizada a esses scripts).

São os seguintes pacotes:

liboxideqt-qmlplugin:amd64/trusty-security 1.9.5-0ubuntu0.14.04.1 upgradeable to 1.17.7-0ubuntu0.14.04.1
liboxideqtcore0:amd64/trusty-security 1.9.5-0ubuntu0.14.04.1 upgradeable to 1.17.7-0ubuntu0.14.04.1
liboxideqtquick0:amd64/trusty-security 1.9.5-0ubuntu0.14.04.1 upgradeable to 1.17.7-0ubuntu0.14.04.1
oxideqt-codecs-extra:amd64/trusty-security 1.9.5-0ubuntu0.14.04.1 upgradeable to 1.17.7-0ubuntu0.14.04.1

Existem minhas configurações de origens permitidas:

Unattended-Upgrade::Allowed-Origins {
#  "${distro_id}:${distro_codename}";
  "${distro_id}:${distro_codename}-security";
  "${distro_codename}:nginx";
};

Mais uma observação:

Se descomentarmos a origem "${distro_id}:${distro_codename}" , essas atualizações serão instaladas pelo script unattended-upgrade :

root@pandora:/home/sysadmin# unattended-upgrade --dry-run -v
Initial blacklisted packages: 
Starting unattended upgrades script
Allowed origins are: ['o=Ubuntu,a=trusty', 'o=Ubuntu,a=trusty-security', 'o=trusty,a=nginx']
Option --dry-run given, *not* performing real actions
Packages that will be upgraded: liboxideqt-qmlplugin liboxideqtcore0 liboxideqtquick0 libsmbclient libwbclient0 oxideqt-codecs-extra python-samba samba samba-common samba-common-bin samba-dsdb-modules samba-libs samba-vfs-modules smbclient

Por que isso acontece?

UPDATE 1:

descobri que esses pacotes foram adicionados a pkgs_kept_back em check_changes_for_sanity in /usr/bin/unattended-upgrade

existe algum código:

if check_changes_for_sanity(cache, allowed_origins,
                                            blacklisted_pkgs):
                # add to packages to upgrade
                pkgs_to_upgrade.append(pkg)
            ...
            else:
                logging.debug("sanity check failed")
                rewind_cache(cache, pkgs_to_upgrade)
                pkgs_kept_back.append(pkg.name)

Por que isso acontece?