Debianセキュリティアップデート用に個別のパッケージリポジトリがあるのはなぜですか？

パッケージを通常のパッケージリポジトリにアップロードしないのはなぜですか？これは一般的な慣習ですか（IE、他のディストリビューションもリポジトリを分けていますか）？

Debianにはセキュリティアップデートのみを提供する配布チャンネルがあり、管理者は絶対的な最小限の変更のみで安定したシステムを実行することができます。さらに、この配布チャネルは通常のチャネルとは多少分離されています。すべてのセキュリティ更新プログラムはから直接提供されますがsecurity.debian.org、他のすべてにはミラーを使用することをお勧めします。これには多くの利点があります。（これらのどれがDebianメーリングリストで読んだ公式の動機であり、どれが私自身のミニ分析であるかを覚えていません。これらのいくつかはDebianセキュリティFAQで触れられています。）

• セキュリティ更新プログラムは、ミラー更新プログラム（約1日の伝播時間を追加できる）による遅延なしに、すぐに拡散されます。
• ミラーは古くなる可能性があります。直接配布により、この問題を回避できます。
• 重要なサービスとして維持するインフラストラクチャが少なくなります。Debianのサーバーのほとんどが利用できず、人々が新しいパッケージをインストールできない場合でもsecurity.debian.org、機能しているサーバーを指す限り、セキュリティ更新プログラムを配布できます。
• ミラーが侵害される可能性があります（これは過去に起こりました）。単一の配布ポイントを監視する方が簡単です。攻撃者が悪意のあるパッケージをどこかにアップロードした場合、security.debian.orgより新しいバージョン番号のパッケージをプッシュできます。エクスプロイトの性質と応答の適時性によっては、これは一部のマシンを感染させないか、少なくとも管理者に警告するのに十分です。
• のアップロード権限を持っている人は少ないsecurity.debian.orgです。これにより、悪意のあるパッケージを挿入するために、攻撃者がアカウントまたはマシンを破壊しようとする可能性が制限されます。
• 通常のWebアクセスを必要としないサーバーは、security.debian.org通過のみを許可するファイアウォールの背後に保持できます。

Debianは通常のレポジトリにもセキュリティアップデートを配置していると確信しています。

セキュリティの更新のみを含む別のリポジトリを用意する理由は、サーバーをセットアップし、セキュリティリポジトリのみを指定して、更新を自動化できるようにするためです。これで、互換性のないバージョンなどに起因するバグを誤って導入することなく、最新のセキュリティパッチが保証されたサーバーを手に入れました。

この正確なメカニズムが他のディストリビューションで使用されているかどうかはわかりません。yumCentOSにはこの種のことを処理するプラグインがあり、Gentooには現在セキュリティメーリングリストがあります（portageセキュリティのみの更新をサポートするために現在修正中です）。FreeBSDとNetBSDはどちらも、インストールされたポート/パッケージのセキュリティ監査を行う方法を提供し、組み込みの更新メカニズムとうまく統合されます。Debianのアプローチ（そしておそらくUbuntuのアプローチは非常に密接に関連しているため）は、この問題に対する洗練されたソリューションの1つです。

次の2つの点で役立ちます。

1. 安全性-最初にセキュリティ修正プログラムを入手してから、残りの更新中にリスクが低くなります
2. システムの残りの部分を保護するためにセキュリティ更新プログラムに依存する傾向があるため、セキュリティ更新プログラムは高いセキュリティレベルで保存する必要があります。

他の理由もあるかもしれませんが、それらは私が役に立つと思う2つです