修補程式基準規則在 Linux 系統上的運作方式 - AWS Systems Manager

修補程式基準規則在 Linux 系統上的運作方式

Linux 分發的修補程式基準中的規則,運作方式依據分發類型而有不同。與 Windows Server 執行個體上的修補程式更新不同,系統會在每個執行個體上評估規則,以將執行個體上設定的儲存庫納入考量。Patch Manager (AWS Systems Manager 功能) 會使用原生套件管理工具來驅動修補基準核准的修補程式安裝。

修補基準規則在 Amazon Linux 和 Amazon Linux 2 上的運作方式

在 Amazon Linux 和 Amazon Linux 2 上,修補程式選取程序如下:

  1. 在執行個體上,YUM 程式庫存取每個已設定之儲存庫的 updateinfo.xml 檔案。

    注意

    如果沒有 updateinfo.xml 檔案,是否安裝修補程式取決於 Approved patches include non-security updates (核准的修補程式包含非安全性更新) 和 Auto-approval (自動核准) 的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    嚴重性

    對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    update_id

    表示諮詢 ID,例如 ALAS-2017-867。諮詢 ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2017-1234567)。CVE ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    已更新

    對應至修補基準中的 ApproveAfterDays。表示包含在更新通知中的發佈日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 執行個體的產品取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 的核取方塊選取。

    對於 updateinfo.xml 中的每個更新通知,修補程式基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補程式基準定義後,有多個套件可以適用,將使用最新的版本。

    此工作流程的同等 yum 命令為:

    sudo yum update-minimal --sec-severity=critical,important --bugfix -y

    自訂選取 Approved patches include non-security updates (包含非安全性更新的已核准修補程式) 核取方塊的修補基準。

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    此工作流程的同等 yum 命令為:

    sudo yum update --security --bugfix -y

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補程式基準規則在 CentOS上的運作方式

在 CentOS 上,修補程式選擇程序如下:

  1. 在執行個體上,YUM 程式庫 (在 CentOS 6.x 和 7.x 版本上) 或 DNF 程式庫 (在 CentOS 8.x 上) 會存取每個已設定儲存庫的 updateinfo.xml 檔案。

    注意

    如果沒有 updateinfo.xml 檔案,是否安裝修補程式取決於 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 和 Auto-approval (自動核准) 的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    嚴重性

    對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    update_id

    表示諮詢 ID,例如 CVE-2019-17055。諮詢 ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2019-17055) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    已更新

    對應至修補基準中的 ApproveAfterDays。表示包含在更新通知中的發佈日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 執行個體的產品取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 的核取方塊選取。

    對於 updateinfo.xml 中的每個更新通知,修補程式基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補程式基準定義後,有多個套件可以適用,將使用最新的版本。

    對於 CentOS 6 和 7,此工作流程的同等 yum 命令為:

    sudo yum update-minimal --sec-severity=critical,important --bugfix -y

    對於 CentOS 8,此工作流程的對等 dnf 命令為:

    sudo dnf update-minimal --sec-severity=Critical --bugfix -y \ sudo dnf update-minimal --sec-severity=Important --bugfix -y

    自訂選取 Approved patches include non-security updates (包含非安全性更新的已核准修補程式) 核取方塊的修補基準。

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    對於 CentOS 6 和 7,此工作流程的同等 yum 命令為:

    sudo yum update --security --bugfix -y

    對於 CentOS 8,此工作流程的對等 dnf 命令為:

    sudo dnf update --security --bugfix -y

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補基準規則在 Debian Server 上的運作方式

在 Debian Server 上,修補基準服務在 Priority (優先順序)Section (區段) 欄位上提供篩選功能。所有的 Debian Server 套件通常會顯示這些欄位。為了判斷修補程式是否已被修補基準選取,Patch Manager 會執行下列動作:

  1. 在 Debian Server 系統上,會執行與 sudo apt-get update 相當的命令以重新整理可用套件清單。儲存區未設定,資料從設定於 sources 清單中的儲存區提取。

  2. 若有可用於 python3-apt (libapt 的 Python 程式庫界面) 的更新,它會升級到最新版本。(這個非安全性套件會升級,即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。

    重要

    僅限於 Debian Server 8 上:由於 Debian Server 8.* 作業系統會參考已淘汰的套件庫 (jessie-backports),因此 Patch Manager 會執行下列額外的步驟以確保修補操作成功。

    1. 在您的執行個體上,對 jessie-backports 儲存庫的參考從來源位置清單 (/etc/apt/sources.list.d/jessie-backports) 會變更為註解。因此,不會嘗試從該位置下載修補程式,

    2. 並會匯入延展安全性更新簽署金鑰。此金鑰提供了 Debian Server 8.* 發行版本的更新和安裝操作所需的許可。

    3. 系統此時會執行 apt-get 操作以確保在修補程序開始之前已安裝最新版本的 python3-apt

    4. 安裝程序完成後,會還原對 jessie-backports 儲存庫的參考,並從 apt 來源金鑰環中移除簽署金鑰。這麼做是為了讓系統組態保持在修補操作之前的狀態。

  3. 接著,會套用 GlobalFiltersApprovalRulesApprovedPatchesRejectedPatches 清單。

    注意

    因為無法可靠地判斷 Debian Server 更新套件的發行日期,此作業系統不支援自動核准選項。

    然而,核准規則也受限於建立或最後更新修補基準時,是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。

    如果非安全更新被排除,將會套用隱含規則,以僅選擇安全儲存庫中包含升級的套件。對於每個套件,套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下,對於 Debian Server 來說,修補候選版本僅限於以下儲存庫中包含的修補程式:

    這些儲存庫的命名如下:

    • Debian Server 8:debian-security jessie

    • Debian Server 9:debian-security stretch

    • Debian Server 10:debian-security buster

    如果包含非安全性更新,則也會考慮來自其他儲存庫的修補程式。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

若要檢視 Priority (優先順序)Section (區段) 欄位的內容,請執行下列 aptitude 命令:

注意

您可能必須先在 Debian Server 系統上安裝 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在此命令的回應中,所有可升級的套裝將以此格式回報:

name, priority, section, archive, candidate version

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補程式基準規則在 macOS 上的運作方式

在 macOS 上,修補程式選擇程序如下:

  1. 在執行個體上,Patch Manager 會存取 InstallHistory.plist 檔案已剖析的內容,並識別套件名稱和版本。

    如需剖析程序的詳細資訊,請參閱 如何安裝修補程式 中的 macOS 索引標籤。

  2. 執行個體的產品取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  3. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 的核取方塊選取。

    對於每個可用套件更新,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補程式基準定義後,有多個套件可以適用,將使用最新的版本。

    自訂選取 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 核取方塊的修補基準。

    除了套用使用 InstallHistory.plist 進行識別的安全性更新外,修補程式管理員也將套用符合修補程式篩選規則的非安全性更新。

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補程式基準規則在 Oracle Linux 上的運作方式

在 Oracle Linux 上,修補程式選擇程序如下:

  1. 在執行個體上,YUM 程式庫存取每個已設定之儲存庫的 updateinfo.xml 檔案。

    注意

    如果儲存庫不是由 Oracle 管理的,則可能沒有 updateinfo.xml 檔案。如果沒有 updateinfo.xml 檔案,是否安裝修補程式取決於 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 和 Auto-approval (自動核准) 的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    嚴重性

    對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    update_id

    表示諮詢 ID,例如 CVE-2019-17055。諮詢 ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2019-17055) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    已更新

    對應至修補基準中的 ApproveAfterDays。表示包含在更新通知中的發佈日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 執行個體的產品取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 的核取方塊選取。

    對於 updateinfo.xml 中的每個更新通知,修補程式基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補程式基準定義後,有多個套件可以適用,將使用最新的版本。

    對於版本 7 執行個體,此工作流程的同等 yum 命令為:

    sudo yum update-minimal --sec-severity=important,moderate --bugfix -y

    對於版本 8 執行個體,此工作流程的同等 yum 命令為:

    sudo dnf upgrade-minimal --security --sec-severity Moderate --sec-severity Important

    自訂選取 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 核取方塊的修補基準。

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    對於版本 7 執行個體,此工作流程的同等 yum 命令為:

    sudo yum update --security --bugfix

    對於版本 8 執行個體,此工作流程的同等 yum 命令為:

    sudo dnf upgrade --security --bugfix

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補程式基準規則在 RHEL 上的運作方式

在 Red Hat Enterprise Linux (RHEL) 上,修補程式選擇程序如下:

  1. 在執行個體上,YUM 程式庫 (RHEL 7) 或 DNF 程式庫 (RHEL 8) 會存取每個已設定之儲存庫的 updateinfo.xml 檔案。

    注意

    如果儲存庫不是由 Red Hat 管理的,則可能沒有 updateinfo.xml 檔案。如果沒有 updateinfo.xml,將不會套用任何修補程式。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    嚴重性

    對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

    update_id

    表示諮詢 ID,例如 RHSA-2017:0864。諮詢 ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2017-1000371) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補基準中的 ApprovedPatchesRejectedPatches 屬性。

    已更新

    對應至修補基準中的 ApproveAfterDays。表示包含在更新通知中的發佈日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 執行個體的產品取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中 Approved patches include non-security updates (已核准修補程式包含非安全性更新) 的核取方塊選取。

    對於 updateinfo.xml 中的每個更新通知,修補程式基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補程式基準定義後,有多個套件可以適用,將使用最新的版本。

    對於 RHEL 7,此工作流程的同等 yum 命令為:

    sudo yum update-minimal --sec-severity=critical,important --bugfix -y

    對於 RHEL 8,此工作流程的對等 yum 命令為:

    sudo dnf update-minimal --sec-severity=Critical --bugfix -y \ sudo dnf update-minimal --sec-severity=Important --bugfix -y

    自訂選取 Approved patches include non-security updates (包含非安全性更新的已核准修補程式) 核取方塊的修補基準。

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    對於 RHEL 7,此工作流程的同等 yum 命令為:

    sudo yum update --security --bugfix

    對於 RHEL 8,此工作流程的對等 dnf 命令為:

    sudo dnf update --security --bugfix

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補程式基準規則在 SUSE Linux Enterprise Server 上的運作方式

在 SLES 上,每個修補程式皆包含下列屬性,以表示修補程式中的套件的屬性:

  • 類別:對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的修補程式類型。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

  • 嚴重性:對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示修補程式的嚴重性。

    您可以使用 AWS CLI 命令 describe-patch-properties 或 API 操作 DescribePatchProperties 檢視支援值的清單。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

執行個體的產品取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

對於每個修補程式,修補程式基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補程式基準定義後,有多個套件可以適用,將使用最新的版本。

注意

如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

修補基準規則在 Ubuntu Server 上的運作方式

在 Ubuntu Server 上,修補基準服務在 Priority (優先順序) 與 Section (區段) 欄位上提供篩選功能。這些欄位通常會顯示所有 Ubuntu Server 套件。為了判斷修補程式是否已被修補基準選取,Patch Manager 會執行下列動作:

  1. 在 Ubuntu Server 系統上,會執行與 sudo apt-get update 相當的命令以重新整理可用套件清單。儲存區未設定,資料從設定於 sources 清單中的儲存區提取。

  2. 若有可用於 python3-apt (libapt 的 Python 程式庫界面) 的更新,它會升級到最新版本。(這個非安全性套件會升級,即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。

  3. 接著,會套用 GlobalFiltersApprovalRulesApprovedPatchesRejectedPatches 清單。

    注意

    因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期,此作業系統不支援自動核准選項。

    然而,核准規則也受限於建立或最後更新修補基準時,是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。

    如果非安全更新被排除,將會套用隱含規則,以僅選擇安全儲存庫中包含升級的套件。對於每個套件,套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下,對於 Ubuntu Server 來說,修補候選版本僅限於以下儲存庫中包含的修補程式:

    • Ubuntu Server 14.04 LTS:trusty-security

    • Ubuntu Server 16.04 LTS:xenial-security

    • Ubuntu Server 18.04 LTS:bionic-security

    • Ubuntu Server 20.04 LTS:focal-security

    • Ubuntu Server 20.10 STR:groovy-gorilla

    如果包含非安全性更新,則也會考慮來自其他儲存庫的修補程式。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

若要檢視 Priority (優先順序)Section (區段) 欄位的內容,請執行下列 aptitude 命令:

注意

您可能必須先在 Ubuntu Server 16 系統上安裝 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在此命令的回應中,所有可升級的套裝將以此格式回報:

name, priority, section, archive, candidate version

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值