Por que existe um repositório de pacotes separado para atualizações de segurança da Debian?

Por que eles não enviam pacotes para o repositório de pacotes normal? Essa é uma convenção geral (ou seja, outras distros também separam os repositórios)?

O Debian possui um canal de distribuição que fornece atualizações de segurança apenas para que os administradores possam optar por executar um sistema estável com apenas o mínimo absoluto de alterações. Além disso, esse canal de distribuição é mantido um pouco separado do canal normal: todas as atualizações de segurança são alimentadas diretamente security.debian.org, enquanto é recomendável usar espelhos para todo o resto. Isso tem várias vantagens. (Não me lembro quais são as motivações oficiais que li nas listas de discussão Debian e quais são minhas próprias mini-análises. Algumas delas são mencionadas nas Perguntas frequentes sobre segurança da Debian .)

• As atualizações de segurança são espalhadas imediatamente, sem o atraso das atualizações espelhadas (que podem adicionar cerca de 1 dia de tempo de propagação).
• Os espelhos podem ficar obsoletos. A distribuição direta evita esse problema.
• Há menos infraestrutura para manter como um serviço crítico. Mesmo que a maioria dos servidores Debian não esteja disponível e as pessoas não possam instalar novos pacotes, desde que security.debian.orgaponte para um servidor ativo, as atualizações de segurança podem ser distribuídas.
• Os espelhos podem ser comprometidos (isso aconteceu no passado). É mais fácil assistir a um único ponto de distribuição. Se um invasor conseguir carregar um pacote malicioso em algum lugar, security.debian.orgpoderá enviar um pacote com um número de versão mais recente. Dependendo da natureza da exploração e da pontualidade da resposta, isso pode ser suficiente para manter algumas máquinas desinfetadas ou pelo menos avisar os administradores.
• Menos pessoas têm direitos sobre upload security.debian.org. Isso limita as possibilidades de um invasor tentar subverter uma conta ou máquina para injetar um pacote malicioso.
• Os servidores que não precisam de acesso comum à Web podem ser mantidos atrás de um firewall que apenas permite a security.debian.orgpassagem.

Eu tenho certeza que o Debian também coloca atualizações de segurança no repositório regular.

O motivo de ter um repositório separado que contenha apenas atualizações de segurança é para que você possa configurar um servidor, apenas apontá-lo para o repositório de segurança e automatizar as atualizações. Agora você tem um servidor com garantia dos patches de segurança mais recentes sem a introdução acidental de erros causados ​​por versões incompatíveis, etc.

Não tenho certeza se esse mecanismo exato é usado por outras distros. Existe um yumplugin para lidar com esse tipo de coisa no CentOS, e o Gentoo atualmente possui uma lista de discussão de segurança ( portageatualmente está sendo modificada para suportar atualizações apenas de segurança). O FreeBSD e o NetBSD fornecem maneiras de realizar auditorias de segurança de portas / pacotes instalados, que se integram bem aos mecanismos de atualização embutidos. Ao todo, a abordagem do Debian (e provavelmente do Ubuntu, por estarem intimamente relacionados) é uma das soluções mais lisas para esse problema.

Ajuda com duas coisas:

1. segurança - primeiro obtenha suas correções de segurança e, em seguida, você corre menos riscos ao atualizar o restante
2. as atualizações de segurança devem ser armazenadas com um alto nível de segurança, uma vez que você tende a confiar nelas para proteger o resto do seu sistema; portanto, esse repositório possui controles de segurança mais fortes para evitar comprometimentos

poderia haver outras razões, mas essas são as duas que eu consideraria úteis