为什么包首先作为安全相关更新发布，但后来更改为正常更新？

Question

我正在运行一个Ubuntu12.04服务器。

我曾多次观察到，它们是一些包，最初是作为安全更新发布的，但后来更改为正常更新。

下面是一个具体的例子：

几天前，我的监控报告了我的安全更新。我立即通过ssh连接到服务器，并运行以下命令：

root@perseus:~# apt-get -s dist-upgrade |grep "^Inst" |grep -i securi
Inst dpkg [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-security [amd64])
Inst dpkg-dev [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precisesecurity [all]) []
Inst libdpkg-perl [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-security [all])
root@perseus:~# apt-get -s dist-upgrade |grep "^Inst" |grep -i securi
Inst dpkg [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-security [amd64])
Inst dpkg-dev [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precisesecurity [all]) []
Inst libdpkg-perl [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-security [all]).2ubuntu7.6 Ubuntu:12.04/precise-security [amd64])
Inst dpkg-dev [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precisesecurity [all]) []
Inst libdpkg-perl [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-security [all])

然后我退出了..。

几个小时后，我的监控报告说，不再有安全更新可用，但我没有安装更新(包unattended-upgrades也没有安装)。

我运行了以下命令：

root@perseus:~# apt-get -s dist-upgrade |grep "^Inst"
Inst dpkg [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-updates [amd64])
Inst libc6-dev [2.15-0ubuntu10.11] (2.15-0ubuntu10.12 Ubuntu:12.04/precise-updates [amd64]) []
Inst libc-dev-bin [2.15-0ubuntu10.11] (2.15-0ubuntu10.12 Ubuntu:12.04/precise-updates [amd64]) []
Inst linux-libc-dev [3.2.0-79.115] (3.2.0-80.116 Ubuntu:12.04/precise-updates [amd64]) []
Inst libc-bin [2.15-0ubuntu10.11] (2.15-0ubuntu10.12 Ubuntu:12.04/precise-updates [amd64]) [libc6:amd64 ]
Inst libc6 [2.15-0ubuntu10.11] (2.15-0ubuntu10.12 Ubuntu:12.04/precise-updates [amd64])
Inst libtasn1-3-dev [2.10-1ubuntu1.2] (2.10-1ubuntu1.3 Ubuntu:12.04/precise-updates [amd64]) []
Inst libtasn1-3 [2.10-1ubuntu1.2] (2.10-1ubuntu1.3 Ubuntu:12.04/precise-updates [amd64])
Inst libtiff4-dev [3.9.5-2ubuntu1.7] (3.9.5-2ubuntu1.8 Ubuntu:12.04/precise-updates [amd64]) []
Inst libtiffxx0c2 [3.9.5-2ubuntu1.7] (3.9.5-2ubuntu1.8 Ubuntu:12.04/precise-updates [amd64]) []
Inst libtiff4 [3.9.5-2ubuntu1.7] (3.9.5-2ubuntu1.8 Ubuntu:12.04/precise-updates [amd64])
Inst linux-image-3.2.0-80-generic (3.2.0-80.116 Ubuntu:12.04/precise-updates [amd64])
Inst multiarch-support [2.15-0ubuntu10.11] (2.15-0ubuntu10.12 Ubuntu:12.04/precise-updates [amd64])
Inst binutils [2.22-6ubuntu1.2] (2.22-6ubuntu1.3 Ubuntu:12.04/precise-updates [amd64])
Inst dpkg-dev [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-updates [all]) []
Inst libdpkg-perl [1.16.1.2ubuntu7.5] (1.16.1.2ubuntu7.6 Ubuntu:12.04/precise-updates [all])
Inst linux-headers-3.2.0-80 (3.2.0-80.116 Ubuntu:12.04/precise-updates [all])
Inst linux-headers-3.2.0-80-generic (3.2.0-80.116 Ubuntu:12.04/precise-updates [amd64])
Inst linux-server [3.2.0.76.90] (3.2.0.80.94 Ubuntu:12.04/precise-updates [amd64]) []
Inst linux-image-server [3.2.0.76.90] (3.2.0.80.94 Ubuntu:12.04/precise-updates [amd64]) []
Inst linux-headers-server [3.2.0.76.90] (3.2.0.80.94 Ubuntu:12.04/precise-updates [amd64])

有谁能解释为什么这些包更新从安全到正常？我的服务器出什么问题了吗？

我的sources.list看起来是这样的：

deb http://archive.ubuntu.com/ubuntu/ precise main restricted
deb-src http://archive.ubuntu.com/ubuntu/ precise main restricted
deb http://archive.ubuntu.com/ubuntu/ precise-updates main restricted
deb-src http://archive.ubuntu.com/ubuntu/ precise-updates main restricted
deb http://archive.ubuntu.com/ubuntu/ precise universe
deb-src http://archive.ubuntu.com/ubuntu/ precise universe
deb http://archive.ubuntu.com/ubuntu/ precise-updates universe
deb-src http://archive.ubuntu.com/ubuntu/ precise-updates universe
deb http://archive.ubuntu.com/ubuntu/ precise multiverse
deb-src http://archive.ubuntu.com/ubuntu/ precise multiverse
deb http://archive.ubuntu.com/ubuntu/ precise-updates multiverse
deb-src http://archive.ubuntu.com/ubuntu/ precise-updates multiverse
deb http://archive.ubuntu.com/ubuntu/ precise-backports main restricted universe multiverse
deb-src http://archive.ubuntu.com/ubuntu/ precise-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu precise-security main restricted
deb-src http://security.ubuntu.com/ubuntu precise-security main restricted
deb http://security.ubuntu.com/ubuntu precise-security universe
deb-src http://security.ubuntu.com/ubuntu precise-security universe
deb http://security.ubuntu.com/ubuntu precise-security multiverse
deb-src http://security.ubuntu.com/ubuntu precise-security multiverse

Answer 1

在使用-security存储库和包之前，您将看到它们的行为经过测试过程。

安全团队管理用于测试的私有ppa -有关详细信息，请参阅https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures。

接下来，将包发布到安全回购系统中。

-security只包含更新的包，这些包包含与安全相关的修补程序，并且构建时不需要"-updates“中的任何内容。为"-security“构建的任何内容都是建立在"-updates”和"-security“之间的包的任何版本都是最新版本的基础上的，因此"-security”中的任何内容都不会引入bug回归。

https://wiki.ubuntu.com/SecurityTeam/FAQ#Repositories

因此，在构建和测试包时，它们将经历一系列存储库，首先是私有安全ppa，然后进入-security，然后再进入其他repos。

确切的迁移将随着安全问题的严重程度、测试以及其他存储库中可能需要的东西而不同，最终包一旦被-main维护者打包后就会在-main中。

我将猜测，安全团队维护ppa和-security以及其他包，或者MOTU维护-main或-universe，它们在维护人员中有不同程度的重叠，这取决于包。