Tor 项目官方建议您不要使用 PPA 或发行版的包管理器，而是直接从他们的网站安装。通常情况并非如此，通常情况下，优秀的包维护者会保持软件最新。例如，Debian 会及时为软件包发布新的安全更新，并为易受攻击的软件包提供公共安全建议。

跟踪您的发行版的公共公告很重要，这样您就可以了解您的安装状态以及您已安装的所有相关软件包。例如，Debian将最近的wget 漏洞报告为 DSA（Debian 安全咨询）。

没有通用的答案，但总的来说，如果您想要一个更安全的系统，请坚持使用其中一个主要发行版，并使用已维护的发行版版本。如果您想要最新版本、错误和所有内容，请使用滚动分发或手动安装程序。

对于大多数用户来说，最大的风险是不进行更新。坚持分发意味着他们有一个单一的更新点。无论您是非技术用户还是专业系统管理员，定期单击按钮或运行脚本来应用发行版的更新要比为您安装的每个软件单独检查和应用更新要容易得多。

您似乎隐含地假设最新版本是最安全的版本，但这是错误的！最新版本修复了新的错误，但也有新的错误，其新功能的安全含义可能很难理解。发行版将安全修复程序移植到他们发布的版本，因此这不是最新版本的事实并不意味着它具有旧漏洞。

此外，系统升级到最新版本存在功能不兼容的风险，您最终将不得不在升级导致功能损坏或保留倒数第二个版本之间做出选择你有一个已知的漏洞。修补您一直用来修复一个特定问题的同一版本所带来的风险要小得多。

如果您非常喜欢某个特定程序，并且您绝对想要最新版本，那么请继续安装它。但这是你要冒的风险。您所做的事情并不是为了让您的系统更安全。

• 当一个软件包不太受欢迎时，一旦发现漏洞，它在发行版存储库中修复漏洞的机会就会减少。但是，官方网站应该已经修复了它。

• 当您使用的存储库不是很受欢迎时——这可能看起来有点荒谬。但请考虑不是 - 如此 - 用户群少的流行发行版。因此，与其从 Tiny Core Linux / Alpine Linux 存储库获取软件应用程序，不如将其作为可移植的 tar.gz 包获取或从 git 克隆然后在本地构建更安全。

//当然，除了 90% 的用户安装包外，你可以确保包的官方站点包含更快的错误修复，前提是你在下载后验证 SHA256 校验和:P。

这只是一个成本/收益比问题。使用发行版依赖于第三方团队来确保您安装在机器上的不同软件能够顺利地一起运行，并且会定期更新。与之相反的是Linux从零开始的方式：从官方来源安装内核和各种软件，并直接遵循安全建议的补丁和更新。除了混合不兼容版本的风险外，直接从官方来源获取所有已安装的软件将需要大量工作。

我的观点是，真相应该介于两者之间：

• 依赖于基本系统的发行版
• 从官方来源安装敏感部件 - 并遵循安全建议

永恒的问题又来了：在我的特定用例中，威胁是什么，风险是什么。一旦你回答了这个问题，根据你使用的发行版，哪些应用程序对你很敏感，以及它们在官方网站和发行版中的维护方式，你将能够选择应该来自发行版的内容以及哪些内容应该来自官方来源。

像往常一样是安全性，没有一种适合所有解决方案的尺寸......