O repositório separado é duas vezes:
- Para manter todas as atualizações relacionadas à segurança facilmente identificáveis, pois elas vêm de um domínio diferente e com um conjunto diferente.
-
Para agilizar todas as atualizações relacionadas à segurança e fornecer um espelhamento exclusivo para garantir a máxima disponibilidade no menor tempo possível, já que os espelhamentos são sincronizados com o Debian regularmente, o que anula a proposta de poder consertar tantos sistemas possíveis.
Actually, there are. There are several official mirrors, implemented through DNS aliases. The purpose of security.debian.org is to make security updates available as quickly and easily as possible.
What are the best practices if I would like to update all my installed packages(apt-get upgrade) with latest security patches, but not to install any additional features or install newer version of the packages?
Se você quer realmente um sistema reforçado, eu recomendo ler o "Securing Debian Manual" primeiro ( através de algumas seções podem precisar de revisão em geral é bom).
Should I just comment out non-security ATP data sources from /etc/apt/sources.list before apt-get upgrade?
Não, isso é apenas desativar qualquer instalação de pacote que não seja de segurança que você queira. Não é o curso de ação recomendado.
Q: What is the policy for a fixed package to appear in security.debian.org?
A: Security breakage in the stable distribution warrants a package on security.debian.org. Anything else does not.
O security.debian mirror somente inclui atualizações relacionadas à segurança. Se você quiser instalar um pacote que nunca tenha uma atualização relacionada à segurança, o apt não encontrará o pacote, dando-lhe dores de cabeça permitindo que os espelhos desativem-os novamente.