Por que há um repositório de pacotes separado para atualizações de segurança da Debian?

O Debian tem um canal de distribuição que fornece atualizações de segurança apenas para que os administradores possam optar por executar um sistema estável com apenas o mínimo absoluto de alterações. Além disso, esse canal de distribuição é mantido um pouco separado do canal normal: todas as atualizações de segurança são alimentadas diretamente de security.debian.org , embora seja recomendado usar espelhos para todo o resto. Isso tem várias vantagens. (Eu não lembro quais dessas motivações oficiais eu li nas listas de discussão do Debian e quais são as minhas próprias mini-análises. Algumas delas são mencionadas no FAQ sobre segurança da Debian .)

• As atualizações de segurança são distribuídas imediatamente, sem o atraso incorrido pelas atualizações espelhadas (que podem adicionar cerca de 1 dia de tempo de propagação).
• Os espelhos podem ficar obsoletos. A distribuição direta evita esse problema.
• Há menos infraestrutura para manter como um serviço crítico. Mesmo que a maioria dos servidores do Debian não estejam disponíveis e as pessoas não possam instalar novos pacotes, desde que security.debian.org aponte para um servidor em funcionamento, as atualizações de segurança podem ser distribuídas.
• Os espelhos podem ser comprometidos (isso aconteceu no passado). É mais fácil assistir a um único ponto de distribuição. Se um invasor conseguisse fazer o upload de um pacote malicioso em algum lugar, security.debian.org poderia enviar um pacote com um número de versão mais recente. Dependendo da natureza da exploração e da oportunidade da resposta, isso pode ser suficiente para manter algumas máquinas não infectadas ou, pelo menos, avisar os administradores.
• Menos pessoas têm direitos de upload em security.debian.org . Isso limita as possibilidades de um invasor tentar subverter uma conta ou uma máquina para injetar um pacote malicioso.
• Os servidores que não precisam de acesso à Web comum podem ser mantidos atrás de um firewall que permita apenas security.debian.org .

Tenho certeza que o Debian também coloca atualizações de segurança no repositório regular.

O motivo para ter um repositório separado que somente contém atualizações de segurança é para que você possa configurar um servidor, apenas apontá-lo para o repositório de segurança e automatizar as atualizações. Agora você tem um servidor que tem garantia de ter os últimos patches de segurança sem introduzir acidentalmente bugs causados por versões incompatíveis, etc.

Não tenho certeza se esse mecanismo exato é usado por outras distros. Há um plugin yum para lidar com esse tipo de coisa para o CentOS, e atualmente o Gentoo tem uma lista de discussão de segurança ( portage está sendo modificada para suportar atualizações somente de segurança). O FreeBSD e o NetBSD fornecem maneiras de fazer auditorias de segurança de portas / pacotes instalados, que se integram bem com os mecanismos de atualização integrados. Tudo dito, a abordagem do Debian (e provavelmente do Ubuntu, já que eles estão tão intimamente relacionados) é uma das soluções mais inteligentes para este problema.

Isso ajuda em duas coisas:

1. segurança - primeiro obtenha sua segurança correções, então você está em menor risco enquanto atualiza o resto
2. as atualizações de segurança devem ser armazenadas em um alto nível de segurança, como você tende confiar neles para proteger o resto do seu sistema, então pode ser que este repo tem segurança mais strong controles para evitar comprometimento

poderia haver outras razões, mas essas são as duas que eu consideraria úteis