Debian problems are always handled openly, even security related. Security issues are discussed openly on the debian-security mailing list. Debian Security Advisories (DSAs) are sent to public mailing lists (both internal and external) and are published on the public server. As the http://www.debian.org/social_contract states: We will not hide problems. We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others.

Debian follows security issues closely. The security team checks many security related sources, the most important being http://www.securityfocus.com/cgi-bin/vulns.pl, on the lookout for packages with security issues that might be included in Debian.

Gli aggiornamenti di sicurezza sono la prima priorità. Quando sorge un problema di sicurezza in un pacchetto Debian, l'aggiornamento viene preparato quanto più velocemente possibile e distribuito per le versioni stable, testing ed unstable, incluse tutte le architetture.

Le informazioni riguardanti la sicurezza sono centralizzate in un'unico punto, http://security.debian.org/.

Debian prova sempre a migliorare la sicurezza complessiva della distribuzione all'avvio di ogni nuovo progetto, come il meccanismo di verifica automatica della firma dei pacchetti.

Debian fornisce un certo numero di utili strumenti relativi alla sicurezza per l'amministrazione e il monitoraggio del sistema. Gli sviluppatori tentano di integrare nel miglior modo possibile questi strumenti con la distribuzione, al fine di renderli uno strumento più efficace per applicare le politiche di sicurezza locali. Gli strumenti includono: verificatori d'integrità, strumenti di verifica, d'irrobustimento, strumenti per i firewall, per l'individuazione delle intrusioni, etc.

I manutentori dei pacchetti vengono avvertiti dei problemi di sicurezza. Ciò porta a molte installazioni di servizi "sicuri in modo predefinito", cosa che può comportare, talvolta, alcuni limiti al loro normale uso. Comunque Debian tenta di bilanciare la sicurezza con la facilità d'amministrazione, ad esempio i programmi non vengono installati disattivati, come invece accade nella famiglia di distribuzioni BSD. In ogni caso, potenzialmente importanti problemi di sicurezza, come i programmi con il setuid attivo, sono parte della http://www.debian.org/doc/debian-policy/.