El problema es el siguiente: los repositorios de Linux (dependiendo de la distribución) proporcionan software y actualizaciones, pero generalmente ese software no es la última versión oficial, pero es una versión anterior o una rama que (con suerte) ha sido parcheada para reparar todos ( ¿O tal vez no todas?) las vulnerabilidades encontradas hasta ahora, y no estoy seguro de quién hace exactamente esto y qué retraso puede haber entre la divulgación de una vulnerabilidad y la disponibilidad de una actualización en los repositorios de distribución. Sé que esto se debe a una compensación entre la seguridad y la estabilidad, pero creo que a veces es posible que tenga más seguridad que estabilidad en una instalación de escritorio.
Eso me hizo preguntarme: ¿debería instalar y actualizar Tor usando el repositorio oficial de mi distribución, o debería usar otro método y qué método? (Como, por ejemplo, usar el repositorio oficial de Tor, que por cierto le advierte que no use los repositorios de Ubuntu porque su paquete Tor podría no estar actualizado, como sospechaba, y como sospecho de muchos otros paquetes, de ahí que pregunta). Y luego me hice la misma pregunta para Virtualbox, VLC, LibreOffice, lo que sea. Por cierto, si una aplicación no tiene un repositorio oficial, será un problema buscar actualizaciones. Y sé que las PPA no deberían considerarse seguras en general.
Y eso lleva a la pregunta más general: si quiero una distribución más segura y actualizada, ¿a veces debería considerar el uso de diferentes métodos para instalaciones y actualizaciones en lugar de los repositorios oficiales de mi distribución? ¿Para qué tipo de paquetes y aplicaciones sugerirías esto? Esta pregunta es especialmente sobre instalaciones de escritorio, pero si lo desea, también puede ampliar su respuesta, incluidos los servidores, puede ser interesante en comparación.