Achei esta publicação nos fóruns do Ubuntu bastante útil. pensei que vale a pena compartilhar:
Seu sistema não é inteligente o suficiente para saber se uma atualização específica inclui um novo recurso, um bugfix ou um patch de segurança. Só conhece o repositório do software. Felizmente, você pode dizer (e filtrar) com base no repositório.
Se o projeto upstream lançar um patch de segurança para um CVE, o Ubuntu Security Team o aplicará à versão atual e entrará no repositório
*-security
.
*-security
não inclui atualizações. Patches CVE apenas. O número da versão do upstream não muda, o número da versão Debian ou Ubuntu muda: Foo 1.2.3-1ubuntu2 torna-se Foo 1.2.3-1ubuntu3Você pode ativar facilmente atualizações automáticas para
*-security
repos em/etc/apt/apt.conf.d/50unattended-upgrades
ou em Software e & amp; Atualiza o painel de controle .Além disso: Se você ativar o repositório
*-updates
, receberá as pequenas melhorias que não se importam. Mas o sistema não tem como determinar se uma atualização é demais para o seu conforto ... não é psíquico ... então talvez você deva desabilitar esse repositório.Finalmente: alguns usuários ficam confusos quando uma vulnerabilidade famosa é descoberta, e o projeto upstream parece recomendar a atualização para a versão mais recente para corrigi-lo. Siga o número CVE em security.ubuntu.com em vez de seguir o hype.