vuxml から色々調べてみると、portaudit というアプリケーションを
発見できました。

FreeBSDのRELEASEブランチと、freebsdupdate + portaudit を
うまく使えば、アップデートを最小に押さえつつセキュアな運用に近づける
気がしてきました。

業務では20台近くのFreeBSDで構築したサーバがあって、アップデートの
手間が結構かかるんですよ。
FreeBSD4系と5系の移行期にPortsが安定しなくて・・
設定ファイルを勝手に置き換えたり、/usr/local/etc/rc/***.sh
を使っていた daemon が知らない内に /etc/rc.conf を使うように
変わってしまっていたり、Makefile を確認しないとおいそれと
portupgradeも使えないという体験をしましたから。

apt-get update && apt-get upgrade はその点ある程度お任せできるんですが
2ヶ月ほどテスト環境で Debian を運用して、やはりFreeBSDが恋しくなりました。