Penelitian ini menganalisis vulnerability management pada Ubuntu 18.04, 20.04, dan 22.04 berdasarkan standar CIS Security Metrics. Tools scanning yang digunakan untuk mendapatkan data kerentanan yaitu OpenSCAP. Standar CIS Security Metrics dibatasi hanya pada Vulnerability Management, Patch Management, Configuration Management, dan change management. Skenario pengujian pada penelitian ini dijalankan dengan melakukan scanning kerentanan pada tiga versi Ubuntu . Berdasarkan CIS Security Metrics, aspek vulnerability scanning coverage belum bisa dalam menentukan upgrade versi Ubuntu yang akan digunakan. Kemudian pada aspek mean time to mitigate vulnerabilities, number of known vulnerabilities, mean time to patch, percentage of configuration, dan configuration management coverage sudah bisa mementukan dalam melakukan upgrade versi Ubuntu yang akan digunakan, yaitu melakukan upgrade versi Ubuntu secara langsung ke Ubuntu 22.04 dari Ubuntu 18.04. Analisa aspek percent of systems no known severe vulnerabilities didapatkan data 6 kerentanan yang tidak diketahui baik dari vulnerability ID, nilai, dan levelnya, pada aspek ini tidak berpengaruh dalam menentukan keputusan dalam upgrade versi Ubuntu karena vulnerability tersebut telah dihapus dari database kerentanan. Analisa aspek mean time to complete change tidak bisa memberikan saran tentang upgrade versi Ubuntu karena tidak membahas tentang vulnerability dan hanya memberikan acuan rilisnya Ubuntu versi 18.04, 20.04, dan 22.04. Kesimpulan penelitian ini merekomendasikan menggunakan Ubuntu versi 22.04 secara langsung dari versi 18.04 karena vulnerability lebih sedikit jika dibandingkan menggunakan Ubuntu versi 18.04 ke versi 20.04 dan versi 20.04 ke versi 22.04. Saran dari penelitian ini yaitu meningkatkan spesifikasi dari hardware perangkat yang digunakan untuk melakukan penelitian serta mencari standar dan juga vulnerability scanner yang lebih kompleks agar vulnerability lebih terperinci.