如何追踪更新如何进入我的 Ubuntu 机器的起源？

Question

如何找到“软件更新程序”列出的更新如何进入我的 Ubuntu 机器的完整“社区历史”？

问题是一般工作流获取更新的“社区历史”，而不是所有可用更新的“社区历史”。

我所追求的是例如

• 与邮件列表更新相关的补丁
• 关于更新的社区讨论
• 与更新相关的源代码
• 与更新相关的 Git 提交
• 负责更新的人员
• 软件更新程序如何知道从哪些存储库获取更新？
• 如果软件更新程序在不同的存储库中找到特定软件包的更新，但一个较旧，另一个较新，它如何选择？
• 等等

背景：
“软件更新程序”似乎每周显示一次或几次：

更新的软件可用于此计算机。您要立即安装吗？

据我了解，这些更新与 SRU 相同 - 稳定版本更新？或者只有来自 Canonical/Ubuntu 的更新称为“SRU”，而非 Canonical/Ubuntu 的更新不称为 SRU？

这是我的“软件更新程序”的屏幕截图，例如，我如何找到 Chrome 更新（可用版本：44.0.2403.157-1）的“社区来源”（补丁、讨论等，如果有）在屏幕截图中突出显示？那么当安装此更新时，我在哪里可以在我的机器上找到有关它的信息？

如何列出我机器上安装的所有更新以及如何列出所有尚未安装的可用更新？

“通过命令行显示 apt-get 安装的软件包历史记录？”的建议副本？询问已安装的软件包列表，我的问题是关于更新以及如何跟踪更新的来源以及它们如何进入我的 Ubuntu 机器。

Answer 1

首先，一个重要的澄清：

术语“稳定版本更新”和“安全更新”（不要忘记它们！）适用于 main、universe、restricted 和 multiverse 中的软件包。PPA 或其他第三方存储库可能有自己的发布时间表和政策。在你的屏幕截图中，我看到“google-chrome-stable”——这不是 Ubuntu 软件包，并且它不遵循 Ubuntu 发布时间表。

话虽如此，这就是您的要求：

• 对于每个 Ubuntu 更新，参考点都是Launchpad bug。您可以在这里找到与问题和解决方案相关的大部分信息。

  您可以通过检查每个包的变更日志来获取错误编号。例如，截至撰写本文时，这是来自的最后一个条目apt-get changelog nautilus：

  nautilus (1:3.14.2-0ubuntu9.1) vivid; urgency=low
  
    * debian/patches/ignore-no-desktop-if-not-first-launch.patch:
      - Don't shut off the desktop when external application calls nautilus
        --no-desktop on a running GNOME desktop. (LP: #1453655)
  
   -- Chow Loong Jin <hyperair@debian.org>  Wed, 24 Jun 2015 11:50:03 +0800
  

  如您所见，日志条目引用了bug #1453655。

  对于安全错误，通常错误报告是私有的（以防止恶意人员访问关键信息），并且通常您会找到 CVE 编号，而不是 Launchpad 错误编号。

• Ubuntu（或Debian）应用的补丁位于源包中的目录中debian/patches。如果您想下载 Nautilus 的源码包，请使用apt-get source nautilus.

  如果稳定版本更新或安全更新引入了新版本的软件（例如新版本的 Firefox），您将必须向上游查找完整的增量。

  并非所有包源都可以在版本控制下使用（git、hg、bzr...）。

• 讨论通常发生在 Launchpad 上。如果有必要，也可以使用ubuntu-devel邮件列表。

• 负责更新的人是提供更新的人（软件包维护者或贡献者）、Ubuntu SRU 团队和Ubuntu 安全团队。

  请注意，并非所有这些人都是 Canonical 员工。友善一点，不要忘记那些利用业余时间维护 Ubuntu 稳定性和安全性的贡献者:-)

• 稳定版本更新和安全更新的过程记录在 Ubuntu Wiki 上：https: //wiki.ubuntu.com/StableReleaseUpdates和https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures