修補基準規則在 Linux 系統上的運作方式

Linux 分發的修補基準中的規則，運作方式依據分發類型而有不同。與Windows Server受管節點上的修補程式更新不同，每個節點都會評估規則，以考量執行個體上設定的儲存庫。 Patch Manager是 中的工具 AWS Systems Manager，使用原生套件管理員來推動修補程式基準核准的修補程式安裝。

對於報告修補程式嚴重性級別的 Linux 作業系統類型，Patch Manager 使用軟體發布者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別，例如通用漏洞評分系統 (CVSS)，或者美國國家漏洞資料庫 (NVD) 發行的指標。

修補基準規則在 Amazon Linux 2 和 Amazon Linux 2023 上的運作方式

注意

Amazon Linux 2023 (AL2023) 使用可透過一或多個系統設定鎖定為特定版本的版本控制儲存庫。對於 AL2023 EC2 執行個體上的所有修補操作，Patch Manager 會使用最新儲存庫版本，與系統組態無關。如需詳細資訊，請參閱《Amazon Linux 2023 使用者指南》中的透過版本化儲存庫使用決定性升級一節。

在 Amazon Linux 2 和 Amazon Linux 2023 上，修補程式選取程序如下：

1. 在受管節點上，YUM 程式庫 (Amazon Linux 2) 或 DNF 程式庫 (Amazon Linux 2023) 會存取每個已設定儲存庫的 updateinfo.xml 檔案。

   如果沒有找到 updateinfo.xml 檔案，是否安裝修補程式取決於包含非安全性更新和自動核准的設定。例如，如果允許非安全性更新，則會在自動核准時間到達時進行安裝。

2. updateinfo.xml 中的每個更新通知皆包含數個屬性，以表示通知中的套件的屬性，如下表所述。

   更新通知屬性

   屬性	描述
   type	對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   severity	對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   update_id	表示諮詢 ID，例如 ALAS-2017-867。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   參考	包含有關更新通知的額外資訊，例如 CVE ID (格式：CVE-2017-1234567)。CVE ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   已更新	對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較，可用於判斷修補程式是否已核准部署。

   如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

3. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

4. 已根據以下指導方針選取欲更新之套件：

   安全性選項	修補程式選擇
   AWS 提供的預先定義預設修補基準和自訂修補基準，其中未選取包含非安全性更新核取方塊	對於 updateinfo.xml 中的每個更新通知，修補基準做為篩選條件使用，只允許更新中包含合格的套件。如果在套用修補基準定義後，有多個套件可以適用，將使用最新的版本。 對於 Amazon Linux 2，此工作流程的等效 yum 命令為： sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y 對於 Amazon Linux 2023，此工作流程的等效 dnf 命令為： sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y
   自訂修補程式基準，其中已選取包含非安全性更新核取方塊，且嚴重性清單為 [Critical, Important] ，分類清單為 [Security, Bugfix]	除了套用從 updateinfo.xml 中選擇的安全性更新外，Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。 對於 Amazon Linux 2，此工作流程的等效 yum 命令為： sudo yum update --security --sec-severity=Critical,Important --bugfix -y 對於 Amazon Linux 2023，此工作流程的等效 dnf 命令為： sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y 注意 如果您在 Patch Manager 外部執行這些 yum 或 dnf 命令，則會安裝取代現已過時套件的具有不同名稱的新套件。不過，這些套件不是由等效 Patch Manager 操作安裝。

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。

修補基準規則在 CentOS Stream 上的運作方式

CentOS Stream 預設儲存庫不包含 updateinfo.xml 檔案。不過，您建立或使用的自訂儲存庫可能包含此檔案。在本主題中，updateinfo.xml 的參考僅適用於這些自訂儲存庫。

在 CentOS Stream 上，修補程式選擇程序如下：

1. 在受管節點上，如果 updateinfo.xml 檔案存在於自訂儲存庫中，則對於每個已設定儲存庫，DNF 程式庫都會存取此檔案。

   如果沒有找到一律包含預設儲存庫的 updateinfo.xml，是否安裝修補程式取決於包含非安全性更新和自動核准的設定。例如，如果允許非安全性更新，則會在自動核准時間到達時進行安裝。

2. 如果存在 updateinfo.xml，則在檔案中的每個更新通知皆包含數個屬性，以表示通知中的套件的屬性，如下表所述。

   更新通知屬性

   屬性	描述
   type	對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   severity	對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   update_id	表示諮詢 ID，例如 CVE-2019-17055。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   參考	包含有關更新通知的額外資訊，例如 CVE ID (格式：CVE-2019-17055) 或 Bugzilla ID (格式：1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   已更新	對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較，可用於判斷修補程式是否已核准部署。

   如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

3. 在任何情況下，受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

4. 已根據以下指導方針選取欲更新之套件：

   安全性選項	修補程式選擇
   AWS 提供的預先定義預設修補基準和自訂修補基準，其中未選取包含非安全性更新核取方塊	對於 updateinfo.xml 中的每個更新通知，如果它存在於自訂儲存庫中，則修補基準將用作篩選條件，僅允許更新中包含合格的套件。如果在套用修補基準定義後，有多個套件可以適用，將使用最新的版本。 對於存在 updateinfo.xml 的 CentOS Stream，此工作流程的等效 dnf 命令為： sudo dnf upgrade-minimal ‐‐sec-severity=Critical ‐‐sec-severity=Important ‐‐bugfix -y
   自訂修補程式基準，其中已選取包含非安全性更新核取方塊，且嚴重性清單為 [Critical, Important]，分類清單為 [Security, Bugfix]	除了套用從 updateinfo.xml 中選取的安全性更新外 (如果它存在於自訂儲存庫中)，Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。 對於存在 updateinfo.xml 的 CentOS Stream，此工作流程的等效 dnf 命令為： sudo dnf upgrade ‐‐security ‐‐sec-severity=Critical ‐‐sec-severity=Important ‐‐bugfix -y 對於沒有 updateinfo.xml 的預設儲存庫和自訂儲存庫，您必須選取包含非安全性更新核取方塊，以更新作業系統 (OS) 套件。 注意 如果您在 Patch Manager 外部執行這些 yum 或 dnf 命令，則會安裝取代現已過時套件的具有不同名稱的新套件。不過，這些套件不是由等效 Patch Manager 操作安裝。

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。

修補基準規則在 Debian Server 上的運作方式

在 Debian Server 上，修補基準服務提供優先順序與區段篩選欄位。這些欄位通常會顯示所有 Debian Server 套件。為了判斷修補程式是否已被修補基準選取，Patch Manager 會執行下列動作：

1. 在 Debian Server 系統上，會執行與 sudo apt-get update 相當的命令以重新整理可用套件清單。儲存區未設定，資料從設定於 sources 清單中的儲存區提取。

2. 若有可用於 python3-apt (libapt 的 Python 程式庫界面) 的更新，它會升級到最新版本。(這個非安全性套件會升級，即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。

3. 接著，將套用 GlobalFilters、ApprovalRules、ApprovedPatches 和 RejectedPatches 清單。

   注意

   因為無法可靠地判斷 Debian Server 更新套件的發行日期，此作業系統不支援自動核准選項。

   然而，核准規則也受限於建立或最後更新修補基準時，是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。

   如果非安全更新被排除，將會套用隱含規則，以僅選擇安全儲存庫中包含升級的套件。對於每個套件，套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下，對於 Debian Server 來說，修補候選版本僅限於以下儲存庫中包含的修補程式：

   這些儲存庫的命名如下：

   • Debian Server 11： debian-security bullseye

   • Debian Server 12： debian-security bookworm

   如果包含非安全性更新，則也會考慮來自其他儲存庫的修補程式。

   如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

若要檢視 Priority (優先順序) 和 Section (區段) 欄位的內容，請執行下列 aptitude 命令：

注意

您可能必須先在 Debian Server 系統上安裝 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在此命令的回應中，所有可升級的套裝將以此格式回報：

name, priority, section, archive, candidate version

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。

修補基準規則在 macOS 上的運作方式

在 macOS 上，修補程式選擇程序如下：

1. 在受管節點上，Patch Manager 會存取 InstallHistory.plist 檔案已剖析的內容，並識別套件名稱和版本。

   如需剖析程序的詳細資訊，請參閱 如何安裝修補程式 中的 macOS 索引標籤。

2. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

3. 已根據以下指導方針選取欲更新之套件：

   安全性選項	修補程式選擇
   AWS 提供的預先定義預設修補基準和自訂修補基準，其中未選取包含非安全性更新核取方塊	對於每個可用套件更新，修補基準做為篩選條件使用，只允許更新中包含合格的套件。如果在套用修補基準定義後，有多個套件可以適用，將使用最新的版本。
   已選取包含非安全性更新核取方塊的自訂修補基準。	除了套用使用 InstallHistory.plist 進行識別的安全性更新外，修補程式管理員也將套用符合修補程式篩選規則的非安全性更新。

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。

修補基準規則在 Oracle Linux 上的運作方式

在 Oracle Linux 上，修補程式選擇程序如下：

1. 在受管節點上，YUM 程式庫存取每個已設定之儲存庫的 updateinfo.xml 檔案。

   注意

   如果儲存庫不是由 Oracle 管理的，則可能沒有 updateinfo.xml 檔案。如果沒有找到 updateinfo.xml，是否安裝修補程式取決於包含非安全性更新和自動核准的設定。例如，如果允許非安全性更新，則會在自動核准時間到達時進行安裝。

2. updateinfo.xml 中的每個更新通知皆包含數個屬性，以表示通知中的套件的屬性，如下表所述。

   更新通知屬性

   屬性	描述
   type	對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   severity	對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   update_id	表示諮詢 ID，例如 CVE-2019-17055。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   參考	包含有關更新通知的額外資訊，例如 CVE ID (格式：CVE-2019-17055) 或 Bugzilla ID (格式：1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   已更新	對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較，可用於判斷修補程式是否已核准部署。

   如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

3. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

4. 已根據以下指導方針選取欲更新之套件：

   安全性選項	修補程式選擇
   AWS 提供的預先定義預設修補基準和自訂修補基準，其中未選取包含非安全性更新核取方塊	對於 updateinfo.xml 中的每個更新通知，修補基準做為篩選條件使用，只允許更新中包含合格的套件。如果在套用修補基準定義後，有多個套件可以適用，將使用最新的版本。 對於版本 7 受管節點，此工作流程的同等 yum 命令為： sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y 對於版本 8 和 9 受管節點，此工作流程的同等 dnf 命令為： sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
   自訂修補程式基準，其中已選取包含非安全性更新核取方塊，且嚴重性清單為 [Critical, Important]，分類清單為 [Security, Bugfix]	除了套用從 updateinfo.xml 中選擇的安全性更新外，Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。 對於版本 7 受管節點，此工作流程的同等 yum 命令為： sudo yum update --security --sec-severity=Critical,Important --bugfix -y 對於版本 8 和 9 受管節點，此工作流程的同等 dnf 命令為： sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y 注意 如果您在 Patch Manager 外部執行這些 yum 或 dnf 命令，則會安裝取代現已過時套件的具有不同名稱的新套件。不過，這些套件不是由等效 Patch Manager 操作安裝。

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。

修補基準規則在 AlmaLinux、RHEL 和 Rocky Linux 上的運作方式

在 AlmaLinux、Red Hat Enterprise Linux (RHEL) 和 Rocky Linux 上，修補程式選擇程序如下：

1. 在受管節點上，YUM 程式庫 (RHEL 7) 或 DNF 程式庫 (AlmaLinux 8 和 9、RHEL 8、9、10 以及 Rocky Linux 8 和 9 ) 會存取每個已設定儲存庫的 updateinfo.xml 檔案。

   注意

   如果儲存庫不是由 Red Hat 管理的，則可能沒有 updateinfo.xml 檔案。如果沒有 updateinfo.xml，將不會套用任何修補程式。

2. updateinfo.xml 中的每個更新通知皆包含數個屬性，以表示通知中的套件的屬性，如下表所述。

   更新通知屬性

   屬性	描述
   type	對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   severity	對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。 您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
   update_id	表示諮詢 ID，例如 RHSA-2017:0864。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   參考	包含有關更新通知的額外資訊，例如 CVE ID (格式：CVE-2017-1000371) 或 Bugzilla ID (格式：1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
   已更新	對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較，可用於判斷修補程式是否已核准部署。

   如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

3. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

4. 已根據以下指導方針選取欲更新之套件：

   安全性選項	修補程式選擇
   AWS 提供的預先定義預設修補基準和自訂修補基準，其中未在任何規則中選取包含非安全性更新核取方塊	對於 updateinfo.xml 中的每個更新通知，修補基準做為篩選條件使用，只允許更新中包含合格的套件。如果在套用修補基準定義後，有多個套件可以適用，將使用最新的版本。 針對 RHEL 7，此工作流程的同等 yum 命令為： sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y 對於 AlmaLinux 8 和 9、RHEL 8、9、10 以及 Rocky Linux 8 和 9，此工作流程的等效 dnf 命令為： sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y
   自訂修補程式基準，其中已選取包含非安全性更新核取方塊，且嚴重性清單為 [Critical, Important]，分類清單為 [Security, Bugfix]	除了套用從 updateinfo.xml 中選擇的安全性更新外，Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。 針對 RHEL 7，此工作流程的同等 yum 命令為： sudo yum update --security --sec-severity=Critical,Important --bugfix -y 對於 AlmaLinux 8 和 9、RHEL 8、9、10 以及 Rocky Linux 8 和 9，此工作流程的等效 dnf 命令為： sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y 注意 如果您在 Patch Manager 外部執行這些 yum 或 dnf 命令，則會安裝取代現已過時套件的具有不同名稱的新套件。不過，這些套件不是由等效 Patch Manager 操作安裝。

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。

修補基準規則在 SUSE Linux Enterprise Server 上的運作方式

在 SLES 上，每個修補程式皆包含下列屬性，以表示修補程式中的套件的屬性：

• 分類：對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的修補程式類型。

  您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

• 嚴重性：對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示修補程式的嚴重性。

  您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

受管節點的產物取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

對於每個修補程式，修補基準做為篩選條件使用，只允許更新中包含合格的套件。如果在套用修補基準定義後，有多個套件可以適用，將使用最新的版本。

如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

修補基準規則在 Ubuntu Server 上的運作方式

在 Ubuntu Server 上，修補基準服務提供優先順序與區段篩選欄位。這些欄位通常會顯示所有 Ubuntu Server 套件。為了判斷修補程式是否已被修補基準選取，Patch Manager 會執行下列動作：

1. 在 Ubuntu Server 系統上，會執行與 sudo apt-get update 相當的命令以重新整理可用套件清單。儲存區未設定，資料從設定於 sources 清單中的儲存區提取。

2. 若有可用於 python3-apt (libapt 的 Python 程式庫界面) 的更新，它會升級到最新版本。(這個非安全性套件會升級，即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。

3. 接著，將套用 GlobalFilters、ApprovalRules、ApprovedPatches 和 RejectedPatches 清單。

   注意

   因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期，此作業系統不支援自動核准選項。

   然而，核准規則也受限於建立或最後更新修補基準時，是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。

   如果非安全更新被排除，將會套用隱含規則，以僅選擇安全儲存庫中包含升級的套件。對於每個套件，套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下，對於 Ubuntu Server 來說，修補候選版本僅限於以下儲存庫中包含的修補程式：

   • Ubuntu Server 16.04 LTS︰xenial-security

   • Ubuntu Server 18.04 LTS︰bionic-security

   • Ubuntu Server 20.04 LTS︰focal-security

   • Ubuntu Server 22.04 LTS (jammy-security)

   • Ubuntu Server 24.04 LTS (noble-security)

   • Ubuntu Server 25.04 (plucky-security)

   如果包含非安全性更新，則也會考慮來自其他儲存庫的修補程式。

   如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

若要檢視 Priority (優先順序) 和 Section (區段) 欄位的內容，請執行下列 aptitude 命令：

注意

您可能必須先在 Ubuntu Server 16 系統上安裝 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在此命令的回應中，所有可升級的套裝將以此格式回報：

name, priority, section, archive, candidate version

如需有關修補程式合規狀態值的詳細資訊，請參閱 修補程式合規狀態值。