Debians Probleme werden immer öffentlich behandelt, sogar wenn sie die Sicherheit betreffen. Sicherheitsfragen werden öffentlich auf der debian-security-Mailingliste diskutiert. Debian-Sicherheits-Ankündigungen (DSA) werden an öffentliche Mailinglisten (sowohl intern als auch extern) versendet und auf dem öffentlichen Server bekannt gegeben. Wie der http://www.debian.org/social_contract:Wir werden Probleme nicht verbergen..

Debian verfolgt Sicherheitsangelegenheiten sehr aufmerksam. Das Sicherheits-Team prüft viele sicherheitsrelevante Quellen, die wichtigste davon http://www.securityfocus.com/cgi-bin/vulns.pl, wobei es Pakete mit Sicherheitsproblemen sucht, die ein Teil von Debian sein können.

Sicherheitsaktualisierungen genießen höchste Priorität. Wenn ein Sicherheitsproblem in einem Debian-Paket entdeckt wird, wird eine Sicherheitsaktualisierung so schnell wie möglich vorbereitet und für den Stable-, Testing- und Unstable-Zweig, einschließlich aller Architekturen, veröffentlicht.

Alle Informationen über Sicherheit sind an einer zentralen Stelle zu finden: http://security.debian.org/.

Debian versucht immer, die gesamte Sicherheit seiner Distribution mittels neuer Projekte zu verbessern, beispielsweise durch automatische Paket-Signierungs- und Verifikations-Mechanismen.

Debian stellt eine Reihe von brauchbaren sicherheitsrelevanten Werkzeugen für die Systemadministration und -überwachung zur Verfügung. Entwickler versuchen, diese Werkzeuge fest mit der Distribution zu verbinden, um sie zu einer besseren Einheit zur Durchsetzung lokaler Sicherheitsrichtlinien zu machen. Diese Werkzeuge schließen Folgendes mit ein: integritätsprüfende Programme, Überwachungswerkzeuge, Werkzeuge zum Abhärten, Werkzeuge für Firewalls, Eindringlings-Erkennungs-Werkzeuge und vieles andere.

Paketbetreuer sind sich der Sicherheitsprobleme bewusst. Dies führt oft zur »voreingestellt sicheren« Installation von Diensten, die sie manchmal in ihrer normalen Benutzung etwas einschränken können. Dennoch versucht Debian, Sicherheitsaspekte und Einfachheit der Administration abzuwägen, zum Beispiel werden Dienste nicht inaktiv installiert (wie es bei den Betriebssystemen der BSD-Familie üblich ist). Auf jeden Fall sind bedeutende Sicherheitsaspekte, wie zum Beispiel setuid-Programme, Teil der http://www.debian.org/doc/debian-policy/.