Você pode usar o apt-check, que é usado para gerar as mensagens no motd,
/usr/lib/update-notifier/apt-check --human-readable
7 packages can be updated.
7 updates are security updates.
Queremos realizar apenas atualizações críticas de segurança em nossos sistemas Ubuntu. Encontramos duas maneiras eficazes de atualizar os sistemas de segurança
Um está usando o apt-get upgrade e então usa o grep para filtrar pacotes de segurança
root@vagrant-ubuntu-trusty-64:/etc/apt# sudo apt-get upgrade -s| grep -i security | wc -l
0
root@vagrant-ubuntu-trusty-64:/etc/apt#
O outro está usando atualizações autônomas
root@vagrant-ubuntu-trusty-64:/home/vagrant# sudo unattended-upgrade --dry-run -d 2> /dev/null | grep 'Checking' | awk '{ print $2 }' | wc -l
32
root@vagrant-ubuntu-trusty-64:/home/vagrant#
Como você pode ver os dois mostrando resultados diferentes para pacotes, qual é a maneira correta de atualizar os pacotes de segurança?
Outro comando para ver a lista:
apt list --upgradable | grep security
Por que atualizações automáticas não são (sempre) a maneira correta para isso: ele apenas faz o que está configurado em /etc/apt/apt.conf.d/50unattended-upgrades .
Isso deve refletir as atualizações de segurança da distribuição atual.
Além disso, apenas atualiza os pacotes, que não precisam de intervenção manual.
Por fim, não é a ferramenta mais rápida para verificar se há atualizações pendentes.
Para o Ubuntu, a resposta (já marcada) de Iain é a melhor escolha.