Los avisos de seguridad de Debian son compatibles con CVE

30 de marzo de 2004

Los avisos de seguridad de Debian (DSA) han sido declarados compatibles con CVE en la conferencia RSA 2004, en San Francisco, el 24 de febrero de 2004.

El servicio de DSA proporcionado por el equipo de seguridad de Debian ha ofrecido información sobre vulnerabilidades de seguridad que se han corregido en las versiones de GNU/Linux desde 1997. En un esfuerzo por cooperar con el proyecto Common Vulnerabilities and Exposures (CVE - Exposiciones y Vulnerabilidades Comunes) para estandarizar los nombres de todas las vulnerabilidades conocidas públicamente y exposiciones de seguridad, los avisos de seguridad nuevos han llevado nombres de CVE desde junio de 2002. Debian se inscribió formalmente para la compatibilidad con CVE en mayo de 2003.

El proyecto Debian cree que es extremadamente importante proporcionar a los usuarios información adicional relacionada con los incidentes de seguridad que afecten a la distribución Debian. La inclusión de nombres CVE en los avisos de Debian ayudan a los usuarios a asociar vulnerabilidades genéricas con avisos y actualizaciones específicos de Debian, lo que reduce el tiempo que se emplea en gestionar las vulnerabilidades que afectan a nuestros usuarios.

La disponibilidad de las referencias de seguridad comunes también facilita la gestión de la seguridad en un entorno con herramientas de seguridad con CVE activado como sistemas de detección de intrusión en máquina o en red, o herramientas de peritación de vulnerabilidad que ya se hayan esarrollado independientemente de si están basadas o no en la distribución Debian.

El proyecto Debian ha añadido nombres CVE a todos los avisos publicados desde septiembre de 1998 a través de un proceso de revisión iniciado en agosto de 2002. Todos los avisos se pueden recuperar desde el sitio web de Debian, y los anuncios relativos a vulnerabilidades nuevas incluyen nombres de CVE si están disponibles en el momento de su publicación. Los avisos asociados con un nombre CVE dado se pueden buscar directamente, a través del motor de búsqueda.

Además, Debian proporciona una completa tabla de referencias cruzadas, que incluye todas las referencias disponibles para los avisos publicados desde 1997. Esta tabla se proporciona como complemento al mapa de referencias que hay disponible en CVE.

Los desarrolladores de Debian comprenden la necesidad de proporcionar información precisa y actualizada del estado de la seguridad de la distribución Debian, permitiendo a los usuarios gestionar el riesgo asociado con las nuevas vulnerabilidades de seguridad. Los nombres de CVE permiten al proyecto proporcionar referencias estandarizadas para todas las vulnerabilidades conocidas públicamente y exposiciones de seguridad que permitan a los usuarios desarrollar un proceso de gestión de la seguridad con CVE activado.