无人值守升级和 debsecan 不一致

要自动安装安全更新我使用unattended-upgrade：

$ sudo unattended-upgrade -d | tail -1
No packages found that can be upgraded unattended and no pending auto-removals

我也试过另一个工具叫做debsecan（主页（目前在官方存储库中）列出所有存在漏洞的软件包CVE 数据库在最近更新的 Ubuntu 18.04 LTS 上，它在 220 个软件包中返回了 967 个“可远程利用、高紧急性”漏洞（总数增加了 7 倍）：

$ debsecan | grep "remotely exploitable, high urgency" | wc -l
967
$ debsecan | grep "remotely exploitable, high urgency" | col2 | uniq | wc -l
220
$ debsecan | grep -o "CVE-20[0-2][0-9]" | sort | uniq -c
    3 CVE-2007
    2 CVE-2008
    8 CVE-2009
    3 CVE-2012
   14 CVE-2013
    9 CVE-2014
   42 CVE-2015
  173 CVE-2016
  948 CVE-2017
 3616 CVE-2018
 4158 CVE-2019
 3540 CVE-2020
    1 CVE-2021

1. 我是否遗漏了什么？
2. 有任何工具可以检查漏洞吗？Ubuntu 上的 debsecan，例如 Red Hat 的开放的SCAP（现已推出！见下文）。除了 OpenVAS 或 Nessus 之外还有其他的吗？

更新

• 2019：Ubuntu 安全团队某人的回答：

  在 Ubuntu 中，景观是检查安全更新状态的首选解决方案。

  我们当然希望有人能贡献出让 debsecan 正常工作所需的修改。这是有关 debsecan 的 bug。

  应该调整 debsecan（针对 ubuntu）或删除

• 似乎 debsecan读取这个文件：

  curl -s https://security-tracker.debian.org/tracker/debsecan/release/1/GENERIC | zlib-flate -uncompress | less
  

  据我所知（请纠正我）因为没有 API对于 Ubuntu 安全公告 (USN)，来自CVE 跟踪页面或者美国海军（或者可能更容易这里，bazaar.launchpad.net 上的所有内容似乎已被删除）应该合并 [转换为 JSON 并] 那里。

• 2020-05: UST2DSA

  我们刚刚完成了一个工具，用于从 Ubuntu CVE Tracker 数据中构建 debsecan 合适的数据库。
  它是 Apache 2.0 下的开源软件，可在此处获取：https://github.com/BBVA/ust2dsa
  使用 Github 的 CI，我们每 6 小时重建一次数据库，以使其包含最新的漏洞信息。
  如果有人想测试结果，只需在当前的 Ubuntu 安装中运行此命令：
  debsecan --suite $(lsb_release --codename --short) --source https://raw.githubusercontent.com/BBVA/ust2dsa/data/

• 2021-11：Ubuntu 的 OVAL 数据使用开放的SCAP

  sudo apt install libopenscap8  # Install OpenSCAP base
  
  wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
  bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
  oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml
  xdg-open report.html